记一次阿里云服务器被黑的经历,以及解决方案
阿里云服务器因为开docker端口被黑
如上图,被一个叫“sshd -D”的脚本命令CPU拉到100%,其伪装成sshd,其实是一个恶意程序。
通过top -H -p 【pid】 等命令,如下图
再用gdb -p【pid】跟进,发现是位于 /usr/bin/sshd -D
然后尝试删除,发现root也没有权限删掉。用 lsattr查看隐藏属性,发现加了 e 和i 不允许更改。
所以尝试用chattr给他把这个属性干掉,发现chattr这个命令也被修改了,不能正常使用。可以通过下面两张图对比发现,恶意程序的植入和这个命令的修改时间是一致的。
所以只好自己编译一个chattr命令来解决:
chattr源码:https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c
安装GCC:
yum install gcc
yum install gcc-c++
编译:
gcc chattr.c -o chattr
这个就创建了一个新的chattr,
修改隐藏属性:z
./chattr -i "/usr/sbin/sshd -D"
./chattr -e "/usr/sbin/sshd -D"
删除恶意程序
rm -rf "/usr/sbin/sshd -D"
同时将被替换的chattr一同删除
./chattr -i -a -e /usr/bin/chattrrm -rf /usr/bin/chattr
重新下载包含lsattr和chattr的工具包
yum install e2fsprogs
最后做一些清理工作
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart
记一次阿里云服务器被黑的经历,以及解决方案相关推荐
- 记录一次有点意思的阿里云服务器被黑的经历
前段时间百度的服务器被攻破,今天早上阿里云又疯狂给我发信息说我的服务器被当肉鸡了 我赶紧爬起来,呵呵,网络水深. 查了查pid 得到一串IP地址 也就仅此而已了 于是我就查了查那里被攻破了 检查成功登 ...
- 记一次阿里云服务器被挖矿的经历
被挖矿 大早上起来,发现被"挖矿"了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 ...
- 记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(一摸一样,只是没查到怎么进来的,入侵)
centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1.原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2.查看进程 1 [root@izwz94xp1kwkca ...
- 阿里云服务器(ECS)集群解决方案
阿里云服务器(ECS)集群解决方案 参考文章: (1)阿里云服务器(ECS)集群解决方案 (2)https://www.cnblogs.com/568yscom/p/10769175.html 备忘一 ...
- 记一次阿里云服务器中挖矿病毒处理
1.收到阿里云发来的预警短信 [阿里云]尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云 ...
- 记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
一.事情缘由 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用. 开放了剩余的其他所有端口:录制教学视频时启动了相关容 ...
- 关于SecureCRT连接阿里云服务器提示需要public key的解决方案
今天趁着阿里云搞活动入手了个ECS云服务器,选择了CentOS6.8版本,在用SecureCRT工具进行连接的时候,发现一直提示: SSH error:a public key file has no ...
- java环境搭建_记一次阿里云服务器Java相关环境搭建的过程
Java在Web开发中有着不可或缺的地位,在我们通常开发中,为了使编写的demo或者项目能够让更多的朋友看到,我们通常会将项目打包发布到网络中的服务器上,以便让更多的人访问到我们的劳动成果上.想着我们 ...
- 记录一次阿里云服务器被黑挖矿的事件(top不显示占用CPU进程)
第一台服务器: 首先我们top一下,看top命令有没有被篡改,如果没有的话,就能一下子定位到是哪个进程占用CPU,如下图所示: 从这张图可以看到,PID为25415的进程占用了大量的CPU. 下面我们 ...
最新文章
- Python中requests包的安装
- java young gc_java old GC和young GC
- 华为任正非谈退休:思维跟不上的时候退,目前是才思泉涌的状态
- 低代码可视化报表开源工具,只要在线拖拽就能做出复杂数据报表
- 【Python Flask】使用Ajax从后台请求数据
- Python深入类和对象
- ipad如何连接电脑_电脑无法连接外网远程调试,一文教你如何用手机让台式机连接外网...
- 新工具︱微软Microsoft Visual Studio的R语言模块下载试用Ing...(尝鲜)
- hdu 4318 Power transmission 临接表 广搜 多校联合赛(二) 第九题
- sql server database mail
- 路由模式和桥接模式的区别
- 客房预订信息java课设_基于jsp的客房预订系统-JavaEE实现客房预订系统 - java项目源码...
- 文件关联注册表项都有哪些?
- 程序员幽默:让你笑到抽搐的自黑段子
- DayDayUp:佛说:有果必有因。 黑格尔说:世界上没有无缘无故的爱,也没有无缘无故的恨。
- 滑铁卢计算机竞赛CCC 解惑问答
- star测试软件,PSTAR准备
- flutter Container设置渐变色
- ultraedit 安装教程
- 最新WIN10系统封装教程2019系列(三)——必要的系统调整