记录一次服务器被入侵的经历

最新推荐文章于 2024-06-11 21:01:00 发布
最新推荐文章于 2024-06-11 21:01:00 发布
阅读量345 收藏
点赞数 2
分类专栏: 服务器运维 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43424482/article/details/113179500
版权

记录一次服务器被入侵的经历

起因

一天,我登上服务器的时候发现cpu一直被占用50%,自己运行的占用cpu的进程还会被kill,使用top命令查看后可以发现有一个叫做-bash的命令在占用大量的cpu资源,而且运行的身份还是root,十分可疑,不过此时我还并不能确定服务器是否被入侵,手动kill掉该进程之后,过一段时间又会重新运行,重启之后仍会重新运行,此时猜测服务器是被人入侵挖矿了。

解决过程

我也是第一次遇到这个问题,一开始走了很多弯路,网上虽然也有其他人介绍服务器被挖矿的解决方案,但是每个挖矿程序的具体情况都不一样,忙了两天也没解决,最后只能借助于Linux的杀毒软件ClamAV。

使用 sudo apt install clamav 安装杀毒软件。

使用 sudo clamav -r -i 目录名 进行扫描,由于全盘扫描非常耗费时间,建议优先扫描关键目录:/bin、 /usr/bin、 /sys

通过扫描找到了挖矿程序/sys/sysdrr,然后上网搜索了关键字,发现CSDN的一篇博客和我遇到的问题是一样的,参考链接如下:

记录一次服务器被入侵,单进程CPU超过1000%

按照博客中的方法删除掉挖矿程序和相关的定时脚本,服务器恢复正常。

漏洞排查

删除挖矿程序之后,为了安全起见,我使用clamav对服务器全盘进行了扫描,发现在一个服务器提供服务的docker容器的相关文件里发现了挖矿代码,紧急停止并删除相关的容器和文件,目前推测是容器的密码过于简单,导致容器最先被入侵,进而入侵整个服务器。

总结

  1. 虽然Linux系统很安全,一般不需要杀毒软件,但是服务器出问题时使用杀毒软件比自己盲目排查要有效很多。
  2. 使用docker的时候一定要注意安全,因为docker开放的端口是可以绕过防火墙的。
  3. 服务器的密码要具有一定的复杂性,不能过于简单。
  4. 为了安全要开启Ubuntu默认关闭的防火墙,ssh服务不要使用默认端口。
会说话的七里香
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一次入侵Linux服务器和删除木马程序的经历
09-15
本文档详细记录一次针对Linux服务器的木马入侵事件,并分享了作者在发现、追踪以及最终清除恶意程序方面的实践经验。通过这些步骤,不仅可以有效应对当前的入侵威胁,还能为未来可能遇到的安全挑战奠定坚实的基础...
web渗透实例
12-08
本文是一次针对特定网站进行渗透测试的真实案例记录。渗透测试的目标是评估Web应用的安全性,并识别潜在的安全漏洞。作者kyo327在文章中详细描述了整个渗透过程中的策略和技术手段。 #### 二、初期探索阶段 在渗透...
一次服务器入侵(木马,挖矿)的排查过程
诺浅的专栏
01-05 3842
阿里云安全中心报告了告警信息,同时手机短信、邮件、电话也接收到了来自阿里云的风险通知,感觉这方面阿里云还是不错。
记录一次服务器入侵的解决方法 转
weixin_35714709的博客
08-26 470
本文转载自http://www.centoscn.com/CentosBug/osbug/2016/0724/7671.html 一:问题说明  1、我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU  2、minerd是个挖矿程序,什么是“挖
Minecraft服务器被境外黑客/熊孩子入侵——开启IP验证
最新发布
拾一贰叁的博客
06-11 328
????的房子又被烧了 重新总结一下吧,我搞了一个minecraft小服务器,paper服务端,纯原版生存,没有加任何插件,也没开正版验证和白名单验证。 隔三岔五有陌生人进来搞破坏甚至开挂满地图拉????,时间以凌晨居多,用http://www.cip.cc/查询ip归属地也确实都是些外国ip。 不知道陌生人是如何得知服务器的公网ip的,不过这个也好理解,就算挂着脚本一个一个试也有可能把ip试出来,虽...
入侵查询记录
jabari87的博客
11-09 1399
入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog  记录登录的用户,可以使用命令lastlog查看,一般会被黑客删除 var/log/secure  记录大多数应用输入的账号与密码,登录成功与否,一般会被黑客删除 var/log/wtmp  记录登录
记录一次服务器被黑解决过程
qq_30195497的博客
06-27 353
一、查看CPU和内存 昨天在使用Xshell连接服务器时,刚开始还很正常,到后面不知道为什么越来越卡,收入一条简单的ls命令都半天没有反应了,首先我们都怀疑是不是CPU或者内存出现了问题,然后使用了Top命令查看了下,发现只有一个ElasticSearch(占用了60%内存)和docker container(偶尔占用了60%CPU),开始以为着是个原因,然后就重启了服务器,发现仍然有问题,没有...
服务器入侵了,溯源全过程(实战)
diaobusi的博客
06-22 2230
黑客为什么之前一直以 ssh方式用“git”等账号连接,在19号之前都是显示账号不可用,为什么19号那天突然就创建了一个git账号并成功入侵?应急处理的方式太过于草率,简单除暴的关闭防火墙端口,如果是在生产环境中,要怎么去完美处理这类事件?对Linux的日志文件还不够熟悉,在翻阅日志时,只知道大概的方面,并不知道该何处入手分析?对linux后门不够了解。linux命令掌握的不够全面。址的SSH连接。你配置防火墙规则,例如限制特定IP地址或IP地址范围对SSH端口的访问。
一次linux(被)入侵
aicyo8644的博客
06-08 703
0x00 背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。我放下酸菜馅的包子,ssh连了一下,被拒绝了,问了下默认的22端口被封了。让运维的同事把端口改了一下,立马连上去,顺便看了一下登录名:root,还有不足8位的小白密...
使用FoxmailServer配置Foxmail邮件服务器[整理].pdf
10-13
接下来,用户将经历一系列的设置步骤。在"安装 - Foxmail Server for Windows"对话框中,连续点击"下一步"和"安装"按钮,启动安装过程。安装完成后,会弹出"Foxmail Server Setup Program"对话框,点击"下一步"进入...
数据库查看工具
03-23
1. **SQLite数据库**:SQLite是一个开源的、自包含的、无服务器的、零配置的、事务性的SQL数据库引擎。它不需要单独的数据库服务器进程,而是直接嵌入到应用程序中,支持多用户同时访问,且具有高度的可靠性和可移植...
【杀毒】-记一次挖矿病毒sysdrr杀毒
Earl_yuan的专栏
01-16 1483
公司内网有一台服务器上部署的服务,前两天突然无法访问了,SSH连接服务器失败,由于这台服务器是刀片机上虚拟出来的,遂决定重启虚拟机,竟然无法正常重启,最后强制重启后,连接服务器启动了应用的服务,但是过了一会儿,同事反馈说又无法访问应用了。随即SSH连接服务器,检查内存资源充足,磁盘空间充足,唯独CPU把几个核全部耗尽。通过top命令查看,发现有一个bash进程消耗了大量的CPU资源。 通过ps -ef|grep 22671查询进程号为22671的进程,可以发现是一个system的进程在执行。 .
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件
yuanlirong22的专栏
09-27 1225
发现大量的恶意脚本和挖矿文件包括-bash和sysdrr等明显特征病毒家族的文件,然后发现竟然删除不了恶意文件,提示“Operation not permitted”不允许操作。此情此景,只好掏出祖传的安全应急手册,终于找到破解之法。
安全应急:解决无法删除挖矿病毒-bash和sysdrr等文件_应急dw(1)
QAZZHONGYI的博客
04-06 973
又是套娃下载:​2)找不到-bash的原因上面的脚本将/bin/initdr拷贝到/bin/-bash,执行他后删除,并且所有的操作都将操作记录写给了null,隐藏了他在系统内的踪迹,更加确定了我的想法,绝壁是被当矿机了。我们用vim打开这个sysdrr文件,发现里面全是乱码,说明这还不是一个简单的文本脚本文件。grep -r 命令的使用也比较简单,只需在命令行中输入grep -r 后面加上要搜索的字符就可以完成搜索,例如:grep -r ‘hello’ 就可以搜索文件中包含hello字符的文件。
绝对经典的入侵例子
生命的守望
01-13 3302
收获的日子 (原创作者:xhacker) 攻击难度:高 防护难度:高 流行度:1(共0~10个档) 一家安全公司的管理员向我挑衅,嘲笑着提出要求让我来入侵他们的网络并且不能让他知道,言语中很明显贬低别人。我很愤怒地接受了这个挑战!首先我要进行了一系列的踩点(在此前我已经试图过攻破他们的网站但没有成功),我通过简单地引诱他访问我的论坛获取了对他们公司网关的IP地址222.222.222.222(当然
入侵LINUX服务器详解
最实用的Linux博客
09-23 1775
原贴:http://gaobei.bloghome.cn/posts/66702.html入侵LINUX服务器详解 黑客文章 /gaobei 发表于2006-12-30, 17:42      在网上有许多网友提出这样的问题:究竟网站的主页是如何被黑的?黑客们到底是如何入侵服务器的?        在讨论这部分知识前,读者需要知道——入侵网站是非法的;但是在网络上
python 入侵服务器_一个入侵iis服务器的简单案例
weixin_39641173的博客
12-16 634
黑客入侵一台服务器的大体分为以下几个步骤:下面列举一个入侵iis的简单案例:1.伪装:由于是学习案例,在此不进行代理或者VPN伪装。2.踩点:指定一个含有漏洞的网站的网页。3.分析:对于网站的攻击首先想到的方法是sql注入。4.入侵:使用domain3.6旁注工具进行sql注入攻击。(获取到网站管理员的用户名和密码)5.提权:以网站管理员身份登陆网页,上传webshell。(如格式不正确则更改格式...
指定入侵内网服务器
不忘初心,护天下安全!
01-24 2701
看一下越南财务部,http://www.mof.gov.vn ip地址为118.70.204.161 c端存在win系统服务器,看一看其中的某一台服务器 比如118.70.204.161/editor是一个登录页面。 我们使用萝卜头hacij,使用步骤:1、安装Havij 1.172、从”Loader”文件夹内拷贝 “Loader.exe” 文件至安装目录3、以管理员权限运行”Load...
浅谈怎样入侵服务器,仅供学习用
热门推荐
u014750988的专栏
11-25 1万+
最近关注网络的安全事件,所以看见一篇文章,很好,很好,收藏着,以后以防有用,但是觉得太依赖工具了 1.渗透测试前的简单信息收集。 2.sqlmap的使用 3.nmap的使用 4.nc反弹提权 5.linux系统的权限提升 6.backtrack 5中渗透测试工具nikto和w3af的使用等. 假设黑客要入侵的你的网站域名为:hack
S7-1200 MODBUS TCP客户端:一次请求读写保持寄存器详解
"本文档详细介绍了如何在西门子S7-1200 PLC中通过MODBUS TCP客户端实现一次请求中对服务器的保持性寄存器进行读写操作,适用于TIA博途V17及更高版本。" 在工业自动化领域,MODBUS TCP是一种广泛使用的通信协议,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值