记一次云服务器EIP出现异常对外攻击的问题

已于 2022-12-26 21:14:56 修改
阅读量776 收藏 3
点赞数 3
文章标签: 服务器 linux 运维
于 2022-12-26 21:14:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tootsy_you/article/details/128449430
版权

大家好,我是早九晚十二,目前是做运维相关的工作。写博客是为了积累,希望大家一起进步!
我的主页:早九晚十二

首先祝大家圣诞快乐,Merry Christma!
在这里插入图片描述

中毒了

今天云主机运维人员告诉我说,服务器疑似中毒了,纳尼(ÒωÓױ)!

告警信息如下

异常对外攻击EIP:X.X.X.X

出现异常对外扫描攻击:22端口

麻烦您这边检查下,尽快对异常资源进行排查处理

看到这个提示,先不要慌,想一下是哪里出了问题。

在这里插入图片描述

解决思路

首先告警了第一件事,先看服务器状态!!!top,free,df等等等等,全部都执行一遍,看看有没有资源异常的情况。

top是最主要的,一般的病毒文件会疯狂侵占cpu,让你的服务器筋疲力尽致死。

执行top查看有无异常进程(如下图,一切正常,看样子这个病毒隐藏的很深~~~)

在这里插入图片描述

接下来分析告警信息,22端口扫描攻击,22端口是sshd服务,那只有用户通过sshd登录才能造成这种情况,于是分析可以登录的用户

 cat /etc/passwd|grep -v nologin

图片

目前只存在五个用户能够登录服务器,依次查看用户的登录日志

cat /var/log/messages|grep 用户名|grep systemd-login

在这里插入图片描述

最后经过筛查与告警时候的时间,可以看到是test用户出现了异常登录信息,接下来我们查看test用户启动了哪些进程。

ps -ef |grep test

图片

由此可见,的确是test用户启动了一堆异常进程一直下载外站资源,抢了我们的性能,这就是罪魁祸首!

病毒处理

查找异常进程的配置文件路径

lsof -p 1561

图片

进入到异常文件目录,查找目录下的异常文件(带有xmr或mine的标识)

cd /tmp/unix

strings * |grep xmr

在这里插入图片描述

通过ip138查询得知,是外境IP

图片

删除所有配置文件

rm -rf unix/

停止所有test进程

ps -ef|grep test|grep -v grep |awk '{print $2}'|xargs kill -9

再次查看

ps -ef|grep test

图片

将test用户删除

userdel test

重点:建议更改sshd端口及root密码。

码字不易。如果文章对您有希望的话,请三连支持一波。
如有问题,欢迎留言,一起探讨,感谢。
也可关注下方公众号,看到留言后会第一时间回复。

早九晚十二
关注
基于阿里云的系统灾备方法架构与安全应急预案介绍
shiter编写程序的艺术
09-05 1153
文章大纲1. 阿里云服务可用性承诺2. 阿里云容灾方案2.1 阿里云容灾方案 1. 阿里云服务可用性承诺 1.1 ECS (1)对于单实例维度, 阿里云承诺一个服务周期内ECS的服务可用性不低于99.975%; (2)对于单地域多可用区维度,阿里云承诺一个服务周期内ECS的服务可用性不低于99.995%。 1.2 RDS (1)云数据库三节点企业版三可用区/高可用版独享型不低于99.99%; (2)云数据库三节点企业版非三可用区/高可用版通用型/SQL Server集群版不低于99.95%。 1.3 SL
基于阿里云的一般性系统安全措施介绍
shiter编写程序的艺术
09-06 1294
文章大纲1. 基于阿里云的典型生产环境安全架构简介1.1 网络安全1.2 主机安全1.3数据库安全1.4应用安全1.5日志2. 源代码管理2.1源代码安全性保障2.2源代码的授权访问2.3源代码的复制和传播2.4源代码平台日常管理3. 堡垒机访问控制3.1概述3.2权限控制3.3堡垒机的授权访问4. RDS数据库访问控制4.1概述4.2RDS数据账号权限控制4.3白名单5. 数据备份\恢复5.1备份系统日常管理5.2日常巡检管理6. ACM应用配置管理6.1目的6.2ACM作用6.3ACM管理维护7. 应用
EIP-155:简单重放攻击保护
weixin_43380357的博客
03-21 521
如果区块高度number >= FORK_BLKNUM同时CHAIN_ID是可用的,那么当为了签名而计算交易的哈希值时,你应该哈希9个RLP编码的元素(nonce, gasprice, startgas, to, value, data, chainid, 0,0),而不是仅仅哈希6个rlp编码的元素(nonce, gasprice, startgas, to, value, data)。2+36,那么当为了恢复而计算交易的哈希值时,是要计算哈希9个RLP编码的元素。CHAIN_ID: 1(主网)
腾讯云-服务违规封禁提醒解决
最新发布
weixin_43214528的博客
05-24 2120
腾讯云轻量服务器违规封禁提醒解决排查
华为云服务器,被植入挖矿机病毒
测试工程师
01-21 6068
Watchdog,Linux 挖矿机病毒新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Linux 挖矿机病毒 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器
云主机弹性公网IP(EIP)介绍
weixin_43840041的博客
09-07 4209
弹性公网IP EIP(Elastic IP)作为一个独立商品为用户提供公网带宽服务。用户可以将EIP实例与云服务器、负载均衡、NAT网关、VPN网关等实例绑定或解绑,为用户访问公网提供IP地址和公网带宽,做到灵活匹配业务变更,增加用户使用弹性。 EIP的主要用途包括: 通过EIP实例,用户可以获取公网带宽服务。 用户可灵活配置EIP实例的计费模式,包括按需按带宽付费、按需按流量付费和包年包月按带...
排查解决腾讯云服务器存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:6379)的访问
xiaobozhang1993的博客
08-05 1万+
【腾讯云】服务违规封禁提醒 解决方法来自腾讯客服 https://cloud.tencent.com/document/product/296/9604,这是我们给您的建议,建议您排查下您的服务器情况 您现在登录上您的服务器了嘛 您执行下crontab -l 给我看下 在执行 netstat -ano|egrep "tcp|udp" redis端口这里有问题 您执行netstat -tupln 给我看下 您这个非常危险 您re...
华为云入门常见问题
燕皇槟枳的博客
03-29 4365
弹性云服务器 服务器云硬盘扩容(从2T扩容到3T),后台直接点扩容失败,为什么? 答:挂盘(fdisk方式),最大支持2T。参考链接如下: 初始化Linux数据盘(fdisk)_弹性云服务器 ECS_快速入门_初始化数据盘_华为云 挂盘(parted方式),支持2T以上扩容。参考链接如下: 初始化Linux数据盘(parted)_弹性云服务器 ECS_快速入门_初始化数据盘_华为云 购买50M共享带宽,支持最多申请多少个IP,费用是多少? 答:20个,超过20个需工单申请,申请晚IP需绑定共享带.
阿里云总结
qq_43406276的博客
11-25 1002
阿里云 传输层 DDoS 攻击:syn flood, ack flood, udp flood, icmp flood、rstflood。 Web 应用 DDoS 攻击:http get flood, http post flood, cc 攻击。 DNS DDoS 攻击:dns request flood、 dns response flood、虚假源+真实源 dns query flood、 ...
阿里云主要产品及功能介绍,阿里云产品分为6大分类:云计算基础/安全/大数据/人工智能/企业应用/物联网
热门推荐
m0_58207718的博客
05-14 1万+
目录 云计算基础(Cloud Essentials): 安全(Security): 大数据(Data Technology): 人工智能(AI): 企业应用(Enterprise Applications): 物联网(IOT): 云计算基础(Cloud Essentials): 云基础产品体系完整度全球领先,基础产品及功能持续投入建设,源源不断的通过新技术提高企业云上的计算、运维、开发和管理能力。...
由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问,阻断预计将在2018-03-23 07:34:26时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。
love_dl_forever的博客
03-22 8807
最近老是给我发这种信息,我烦死了,决定看看到底是什么情况,我进入我的服务器查看了我的进程,里面有个gpg进程占用我的cpu90%,吓我一跳,我立马杀了这个进程,过二天后这个进程又出现了,我仔细查看了原因是我的redis没有设置密码,且对外公开导致的,查看gpg的进程路径,把文件移除,再杀死进程,设置redis密码。这个问题就解决了。...
由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问
BoomMan
02-21 6239
由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:6379)的访问
您的云服务器(116.62.128.176)由于被检测到对外攻击,已阻断该服务器对其它--(redis漏洞引起的问题)
zxc_user的博客
01-27 9151
转载自 http://www.cnblogs.com/cxygg/p/9967602.html   https://blog.csdn.net/pri_sta_pub/article/details/85340922 https://www.jb51.net/article/147365.htm   得还要删除对应的文件,一般都存在于 rm -rf /tmp/qW3xT.4   ...
关于“云服务器被检测到对外攻击已阻断该服务器对其它服务器端口的访问“的解决措施
风清无际
07-05 2378
前段时间阿里云大量发送云服务器对外攻击的信息到邮箱中,邮件信息大概如下: 您的云服务器(XX.XX.XX.XX)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:XX)的访问,阻断预计将在2019-01-12 18:57:08时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。 您的云服务器(XX.XX.XX.XX)已解除端口:(TCP:XX)的访问相关拦截处罚。 若有疑问,请工单或电话联系阿里云售后,感谢您对阿里云的支持。 以上信息描述的比较清楚,
腾讯云服务器涉及对外违规行为而被隔离的问题原因和解决方法
qiu7qiu7的博客
05-11 1万+
前几天突然收到腾讯云的短信和邮件,说我的服务器因为违规被隔离了,试了试,通过域名和外网IP均是无法连接到我的服务器,这让我着急了,百度了一圈得到的信息不多,但也解决了我的问题,下面总结如下: 首先是我收到的邮件: 我看到这样的问题自然很疑惑,网上说是我的电脑被黑客控制了当肉鸡去给黑客们干活了,我登上我的服务器看看了确实多出来不少的没见过的玩意出来。这里提一下因为外网IP
阿里云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口的访问
Fouse_的博客
02-26 5769
EIP & EBP & ESP
f413933206的专栏
12-20 7268
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 汇编语言中CPU上的通用寄存器的名称,是32位的寄存器。如果用C语言来解释,可以把这些寄存器当作变量看待。比方说:add eax,-2 ;   //可以认为是给变量eax加上-2这样的一个值。这些32位寄存器有多种用途,但每一个都有“专长”,有各自的特别之处。EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。EBX 是"基地址"(base)寄存器, 在内存寻址时存放基地址。ECX 是计
阿里云EIP自动更换脚本使用指南
例如,业务服务器需要定期更换或者云服务器实例出现故障时,需要快速将EIP迁移到新的实例以保证业务不中断。手动更换会消耗较多时间和人力资源,因此需要编写自动化脚本来实现这一过程。 3. 脚本编程基础:自动更换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

早九晚十二

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值