记一次阿里云服务器被黑的经历,以及解决方案
阿里云服务器因为开docker端口被黑
如上图,被一个叫“sshd -D”的脚本命令CPU拉到100%,其伪装成sshd,其实是一个恶意程序。
通过top -H -p 【pid】 等命令,如下图
再用gdb -p【pid】跟进,发现是位于 /usr/bin/sshd -D
然后尝试删除,发现root也没有权限删掉。用 lsattr查看隐藏属性,发现加了 e 和i 不允许更改。
所以尝试用chattr给他把这个属性干掉,发现chattr这个命令也被修改了,不能正常使用。可以通过下面两张图对比发现,恶意程序的植入和这个命令的修改时间是一致的。
所以只好自己编译一个chattr命令来解决:
chattr源码:https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c
安装GCC:
yum install gcc
yum install gcc-c++
编译:
gcc chattr.c -o chattr
这个就创建了一个新的chattr,
修改隐藏属性:z
./chattr -i "/usr/sbin/sshd -D"
./chattr -e "/usr/sbin/sshd -D"
删除恶意程序
rm -rf "/usr/sbin/sshd -D"
同时将被替换的chattr一同删除
./chattr -i -a -e /usr/bin/chattrrm -rf /usr/bin/chattr
重新下载包含lsattr和chattr的工具包
yum install e2fsprogs
最后做一些清理工作
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart
记一次阿里云服务器被黑的经历,以及解决方案相关推荐
- 记录一次有点意思的阿里云服务器被黑的经历
前段时间百度的服务器被攻破,今天早上阿里云又疯狂给我发信息说我的服务器被当肉鸡了 我赶紧爬起来,呵呵,网络水深. 查了查pid 得到一串IP地址 也就仅此而已了 于是我就查了查那里被攻破了 检查成功登 ...
- 记一次阿里云服务器被挖矿的经历
被挖矿 大早上起来,发现被"挖矿"了,云服务器在大晚上发了几条警告消息 真TM恶心,它伪装成一个程序,占有99%的内存,通过借助大量计算能力去做别的事情 解决 top命令查占有进程 ...
- 记一次阿里云服务器CPU长期100%发现被被种挖矿程序解决的过程(一摸一样,只是没查到怎么进来的,入侵)
centos 7 记一次阿里云服务器被被种挖矿程序解决的过程 1.原因 偶尔发现我的服务器CPU使用率长期处于100%,就登上服务器看了一下 2.查看进程 1 [root@izwz94xp1kwkca ...
- 阿里云服务器(ECS)集群解决方案
阿里云服务器(ECS)集群解决方案 参考文章: (1)阿里云服务器(ECS)集群解决方案 (2)https://www.cnblogs.com/568yscom/p/10769175.html 备忘一 ...
- 记一次阿里云服务器中挖矿病毒处理
1.收到阿里云发来的预警短信 [阿里云]尊敬的1*********9:云盾云安全中心检测到您的服务器:1xx.xx.xx.x5(gateway)出现了紧急安全事件:主动连接恶意下载源,建议您立即登录云 ...
- 记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
一.事情缘由 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用. 开放了剩余的其他所有端口:录制教学视频时启动了相关容 ...
- 关于SecureCRT连接阿里云服务器提示需要public key的解决方案
今天趁着阿里云搞活动入手了个ECS云服务器,选择了CentOS6.8版本,在用SecureCRT工具进行连接的时候,发现一直提示: SSH error:a public key file has no ...
- java环境搭建_记一次阿里云服务器Java相关环境搭建的过程
Java在Web开发中有着不可或缺的地位,在我们通常开发中,为了使编写的demo或者项目能够让更多的朋友看到,我们通常会将项目打包发布到网络中的服务器上,以便让更多的人访问到我们的劳动成果上.想着我们 ...
- 记录一次阿里云服务器被黑挖矿的事件(top不显示占用CPU进程)
第一台服务器: 首先我们top一下,看top命令有没有被篡改,如果没有的话,就能一下子定位到是哪个进程占用CPU,如下图所示: 从这张图可以看到,PID为25415的进程占用了大量的CPU. 下面我们 ...
最新文章
- Ben Horowitz:执行程序有多糟糕,公司倒闭就有多快
- 【深度学习】查准率、召回率、AP、mAP
- java replaceall函数_JAVA中string.replace和string.replaceAll的区别及用法
- 什么是CPU密集型、IO密集型?
- c语言 段错误 指针,求教为什么指针动态申请了空间,scanf的时候还会段错误
- 怎么判断自己是不是备胎 ?
- 从软件工程的角度比较Swift、Go和Julia,我有了这些发现
- 【更新】Navicat Monitor v1.7的新功能说明
- python网络爬虫与信息提取北京理工大学ppt_北京理工大学Python网络爬虫与信息抽取学习笔记10,信息提取...
- PHP echo 即时输出
- Linux word转pdf汉字乱码
- 安卓代码设置系统时间
- ContextCapture(Smart3D)网盘教程 直接下载
- Flink 第8.2章 Flink 的键组 KeyGroup 与 缩放 Rescale
- (纪中)2173. 无根树(tree)【SPFA】
- EasyNLP发布融合语言学和事实知识的中文预训练模型CKBERT
- 校友诗选_母校百年 同学聚会(来稿刊登)
- 远程手机教学|简单实用,1键远程协助老人使用智能手机
- 【OpenCV学习笔记】之六 手写图像旋转函数---万丈高楼平地起
- 联想台式电脑重装系统按哪个键?