被迫走上运维之路的java开发…
用的是阿里云的esc,这两天服务器频繁爆cpu,上去看了一下是成了别人的矿机,
开头疑是redis对公网开放导致导致黑客利用redis’的未授权访问漏洞,直接获取ECS的Root权限,被黑客利用向磁盘上写入了可疑文件.
由于服务器是交接过来的,环境搭建并不是由我们这边着手的,很多东西也不清楚.
打开redis的配置文件看到bing 127.0.0.1 是被注释掉的,并且密码也很简单…外包果然不靠谱…
所以将前面的 # 去掉,修改密码.
源头处理掉,接下来就是收拾残局了
首先,开头不重视我删掉一些恶意脚本以为就完了,然而隔天又重现了…
上阿里云仔细看了一下
我照着解决方案看了一下,果然cron下有3个计划任务,redis,root,tomcat
其中root如下
果然…
我查了一下这个ip是德国的
反正不是什么好东西…
把这几个删了
期间还发现一个恶意脚本
更改了几个系统命令,然后杀掉掉了不少系统后台进程
问题还挺多,
总之redis安全加固,然后检查定时任务,删除恶意脚本…重新配置ssh认证…就先这样了,咱也不太懂,毕竟只是个可怜的小后台…
有兴趣了解也可以看看这个
https://www.freebuf.com/column/211777.html
=============华丽的分割线
今天上阿里云看了一下,又有访问恶意域名,肯定有漏掉的东西,除了var/spool/cron之外,etc里面cron.* 之类文件夹里面的计划任务文件也看一下,果然,🤦,删了删了.
还有阿里云上面几个灰色的提醒没注意
百度查了一下,还有个networkservice,sysguard,跟之前哪个update.sh一样,都在etc下…
照例chattr -i …然后删掉.
emm…明天再看看
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
