华为云主机被植入挖矿,主机变肉鸡破解实录。
1、主机被植入挖矿主机现象:
早上一大早来公司发现自己的华为云主机cpu使用一直飙高
然后使用top命令查看,发现top命令不能用,此时得我知道事情不简单了,,,
然后使用last查看登录记录,发现记录都被清空了,然后history也是清空的,看不出来有啥进程导致CPU彪高,我就把公网IP直接给解绑了,然后开始排查。
2、排查思路及解决办法:
1、top查看进程类的命令都不能使用,相关日志文件记录都被删了个干净,
2、可以安装htop(yum -y install htop)
3、查看一下是否跑了定时任务,这直接挂了每30秒的跑的脚本,
到etc目录下看下是否有该文件;好家伙!!!
然后我准备删除该sh,
发现也删除不了,,,然后看该文件的权限,应该是加权限了,看下文件的属性,使用lsattr命令。
发现有+a的权限导致无法删除;应该是使用了chatter对文件属性进行了追加,
chatter +a 锁定文件,不能删除,不能更改,只能给文件添加内容,但是删除不了。
普及一下chatter!!!!!!!! chatter: A:即Atime,告诉系统不要修改对这个文件的最后访问时间。 S:即Sync,一旦应用程序对这个文件执行了写操作,使系统立刻把修改的结果写到磁盘。 a:即Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件。如果目录具有这个属性,系统将只允许在这个目录下建立和修改文件,而不允许删除任何文件。 b:不更新文件或目录的最后存取时间。 c:将文件或目录压缩后存放。 d:当dump程序执行时,该文件或目录不会被dump备份。 D:检查压缩文件中的错误。 i:即Immutable,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。 s:彻底删除文件,不可恢复,因为是从磁盘上删除,然后用0填充文件所在区域。 u:当一个应用程序请求删除这个文件,系统会保留其数据块以便以后能够恢复删除这个文件,用来防止意外删除文件或目录。 t:文件系统支持尾部合并(tail-merging)。 X:可以直接访问压缩文件的内容。
那我们把a这个属性去除再删除
我删除该定时任务发现没有权限,
那我们按照提示去看下该文件的属性发现加了a和i的属性,不能被删除,那我们就把这两个属性给干掉,
把/var/spool/cron/root的定时任务删除掉
再看下定时任务没了,
ps进程被替换
又发现了一个定时任务,,,zzh是谁???
一样的加了权限
修改ssh端口,把公网连上开始排查下,改为xxx端口。
将主机绑定上公网,通过更改的端口进行排查,别忘了添加端口名单
然后看下selinux情况,被关了,,,
开起来!!!!!!在开的过程更加肯定,主机被黑了!!!!因为selinux内容都被删的只剩一行了!!!!!
然后重启主机,因为selinux是重启生效的!!!!
昨天我在云主机上部署了reids服务,结果今天就被当做肉鸡了,云上部署redis一定要加白名单啊!!!!
原因:
挖矿病毒,利用Redis的未授权访问漏洞进行攻击。Redis 默认配置为6379端口无密码访问,redis是以root用户直接启动,攻击者直接通过公网直接链接redis,向root账户写入SSH公钥文件,以此获取服务器权限注入病毒
3、预防措施
1、开始你的selinux
2、开启你的防火墙,不要直接关闭你的防火墙,做一些安全策略。
3、云主机的安全组端口不要全开,ssh端口要更改为不常用的端口,使用redis时一定要加白名单!!!
华为云主机被植入挖矿,主机变肉鸡破解实录。相关推荐
- 云服务器被植入挖矿木马,CPU飙升200%
原文链接:https://bbs.pediy.com/thread-268197.htm 本文为腾讯安全专家撰写的<挖矿木马自助清理手册>,可以为政企客户安全运维人员自助排查清理挖矿木马提 ...
- 云服务器被植入挖矿木马,CPU飙升200%处理方案
云服务器被植入挖矿木马,CPU飙升200%处理方案 1,通过执行top命令,即可在返回结果中看到当时系统的CPU占用率. top -c 2.检查防火墙iptables规则中是否存在可疑端口 iptab ...
- qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机
## qW3xT.6解决挖矿病毒 - 云服务器被植入挖矿脚本成为矿机 > 之前由于goblog应用因为不知名问题导致程序crash,之前只检查过云服务内存的情况,但是其他信息暂未检查,今天远程到 ...
- 解决阿里云服务器被植入挖矿脚本过程
文章目录 前言 一.服务器为什么会被告警挖矿? 二.怎么解决: 1.top 命令查看进程cpu 占用情况: 2.通过pid进程号,查找改程序所在的目录: 3. 强制删除脚本文件: 4. 强制杀死进程: ...
- 华为云计算机访问手机软件,华为云电脑来了,只需一个APP就能让手机秒变Windows电脑!...
华为云电脑来了,只需一个APP就能在手机上体验熟悉的Windows操作,实现在手机上制作PPT.表格.写文案以及处理图片等,就算没带电脑出门,也能随时处理紧急公务. 1.webp.jpg (168.0 ...
- 华为云计算机访问手机软件,华为云电脑来了,只需一个APP就能让手机秒变Windows电脑...
你能想象手机变成电脑,手机使用电脑操作系统吗,近日华为就用Mate10实现了这一神奇功能.只需一个APP就能在M10上体验熟悉的Windows操作,实现作做表格写文档等办公功能,就算没带电脑出门,也能 ...
- 华为云计算机系统是什么,你了解什么是华为云电脑吗,它有什么用
随着轻薄笔记本以及平板电脑的普及,对于商务人士的每次出差的"旅行重量"得到了不少的减轻,但笔记本电脑或者平板这样的设备还是必不可少.随着手机性能越来越强大,不少手机都具备了PC模式 ...
- 【物联网】基于华为云IOTDA轻松实现智慧路灯应用
前言 基于IOT平台构建智慧路灯应用,用到了一下云产品:弹性服务器ECS,虚拟私有云VPC,弹性公网IP,项目管理Project,部署CloudDeploy,代码托管,编译构建,消息通知服务SMN,设 ...
- 帮奶牛找对象?华为云AI黑科技大揭秘
AI可以用来做什么? 华为云BU总裁郑叶表示,"AI不是一个独立的产品,而是一种 '基本生产力',适用于大部分经济活动,将改变每一个行业.企业和职业,产生倍增效应." 于是,华为的 ...
- 网站服务器可以用虚拟主机吗,做网站虚拟主机可以用服务器吗
做网站虚拟主机可以用服务器吗 内容精选 换一换 可以.弹性云服务器或者专属主机上创建的弹性云服务器都可以用来搭建网站. 华为云帮助中心,为用户提供产品简介.价格说明.购买指南.用户指南.API参考.最 ...
最新文章
- 大厂前端高频面试问题与答案精选
- 剑指offer 06.逆向打印链表
- 力扣题458:可怜的小猪
- Web API系列(三)统一异常处理
- @Pathvariable的参数允许为空的问题的解决
- python如何处理文本文件_python如何选择合适的异常处理方式?
- python的objectproperty,python – ObjectProperty类的用法
- 避障车(L293D电机驱动)
- Win7和XP操作系统显示文件扩展名
- 基于C++的即时通信软件设计
- 计算机四级考448分算低吗,英语4级成绩,四级300多成绩单有用吗。
- IEEE trans使用latex模板部分字体是黑色,部分变成了绿色
- Acwing 第四章模板及详解(数学知识)
- Line 1 in XML document from URL [file:/D:/tomcat/apache-tomcat-9.0.10/lib/] is invalid;
- 苹果开发者证与真机调试
- linux系统中pinctrl 和gpio子系统使用方法(教你点灯)
- matlab中sign函数的使用(提取符号)
- linux 快速启动应用程序(alias使用)
- 文件操作,函数练习及答案
- 对于计算机发展史的一些启示