`
ivan
  • 浏览: 181286 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

阿里云Linux系统被攻击的处理过程

阅读更多
  4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的《毁灭之城:地球碎块》,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器【阿里云】”。用“gmail”打开邮件,没有太多有用的内容:“经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽快排查您的安全隐患。如恶意发包行为持续12小时候我们会下发脚本策略封禁您对外发包端口。且不会影响您正常对外业务及应用。如发现此类恶意发包行为持续将视为之前封禁动作无效。36小时后我们将关停您的主机,请您务必重视。谢谢。”

  马上联系金蝶外包公司DC技术人员AL(之前该系统由其配置、实施),打了数次电话都被拒绝,后来发了短信给他,他的回复:“我在开会,稍后回复。”、“如果是服务器问题,可以联系下阿里的服务解决”。后来,就没有后来了……

    最后还是要靠自己来处理。回到家先登录进阿里云网站,阿里的云盾提示“密码破解拦截(7天)45次,由于您的密码设置过于简单,已被成功破解1次,建议修改密码。”之前AL同学设置的密码的确比较简单,想不到就出事了。不过阿里的云盾也很傻X,只是傻乎乎的拦截,没有禁用对方的IP,结果就给别人暴力破解了。而且“密码破解拦截”的报警设置默认居然是“短信”、“邮箱”都没有勾选上。网络监控图中出网图已经是高高的山峰。

  先用ssh连服务器,连不上。还好这是云服务器,不然就只能跑机房了,现在可以通过管理终端连上去。连上去后,重启sshd服务 /etc/init.d/sshd restart,stop的时候失败,估计是给骇客停止了。重启后ssh可以连上。然后用netstat -an 、top 命令查看可疑进程。结果发现有不明进程syn很活跃。用 ps afx|grep syn 找出syn进程的位置,在/root目录下。杀掉syn进程,ping该云服务器马上恢复正常了。然后删除syn文件,但是过了一会,syn文件又自动出现、自动运行。还是杀掉syn进程,但是这次不删除syn文件了,只是去掉它的可执行权限:chmod u-x ./syn  这个方式貌似凑效了。但是母体程序还在,还是要继续处理才行。

  用lsof命令查syn,得到下面的结果:
lsof -p 3439
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
syn 3439 root cwd DIR 202,1 4096 655361 /root
syn 3439 root rtd DIR 202,1 4096 2 /
syn 3439 root txt REG 202,1 1223123 655842 /root/syn
syn 3439 root 0u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 1u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 2u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 3uW REG 202,1 4 403182 /tmp/gates.lod
syn 3439 root 4u raw 0t0 16175174 00000000:0011->00000000:0000 st=07
syn 3439 root 5u IPv4 16175175 0t0 TCP 112.124.39.48:44550->183.56.173.59:entp (ESTABLISHED)
syn 3439 root 6u raw 0t0 16189523 00000000:0006->00000000:0000 st=07

  查看.bash_history,惊奇的发现骇客的命令历史还在(同时也发现byobu里面输入的命令没有记录下来的):
./syn &
killall syn
./syn &
killall sshd
   
  继续查看系统的登录日志:more /var/log/secure |grep Accepted,有两条可疑的日志:
Apr 22 19:24:47 iZ238bx2fk5Z sshd[20073]: Accepted password for root from 222.186.21.154 port 3504 ssh2
Apr 22 19:38:56 iZ238bx2fk5Z sshd[20599]: Accepted password for root from 183.56.173.96 port 3452 ssh2

222.186.21.154这个ip和云盾里面的记录是一致的,应该是攻击ip无疑。通过ip.cn网站查询:
查询的 IP:222.186.21.154 来自:江苏省镇江市 电信
查询的 IP:183.56.173.96 来自:广东省潮州市 电信
查询的 IP:183.56.173.59 来自:广东省潮州市 电信

不过用last命令查,就只查到
root     pts/5        183.56.173.96    Wed Apr 22 19:38 - 19:40  (00:01)

  猜测222.186.21.154是用来做暴力攻击的肉鸡(24分攻破),攻击成功后发送信息给183.56.173.96(38分就连上来)。syn运行后继续跟183.56.173.*连接,接受真正的攻击指令,对目标发起DDOS攻击。

  用Google搜索“linux 自动复制文件 木马”,找到这篇文章“ 一次linux删除文件后又自动生成就是中木马的情况的解决过程”(http://dadloveu.blog.51cto.com/715500/1579168),得到提示,在系统中也找到 /usr/bin/.sshd这个伪装进程,而且日期也是4-22的。

  用find /usr -ctime -1 命令还找到好些伪装程序出来。干掉.sshd之后,再删除syn,syn终于不会原地复活。

  继续用 "/usr/bin/.sshd" sync conf.n 搜索,找到这篇“centos netstat和ps感染木马解决方案(http://crx.xmspace.net/netstat_ps_trojan_clean.html)”,有很多吻合的地方,估计这次就是中了这个木马了。基本照着清理,最后一步强制重新安装三个软件包,是先yum -y install yum-utils,再通过yumdownloader 来下载rpm包。

rpm -q net-tools
net-tools-1.60-110.el6_2.x86_64
yumdownloader net-tools
rpm -ivh net-tools-1.60-110.el6_2.x86_64.rpm --force --nodeps

rpm -q procps
procps-3.2.8-25.el6.x86_64
yumdownloader procps
rpm -ivh procps-3.2.8-30.el6.x86_64.rpm --force --nodeps

rpm -q lsof
lsof-4.82-4.el6.x86_64
yumdownloader lsof
rpm -ivh lsof-4.82-4.el6.x86_64.rpm --force --nodeps

  以上都处理完之后,修改sshd端口,修改root密码为复杂字串,装上denyhosts扼杀暴力攻击于萌芽状态。

  世界那么大,恶意者总不会少,服务器放在公网上还是要多加小心。之前自己配置的服务器都很谨慎,这次因为是第三方公司配置的,而且由于种种原因那台服务器很少介入就出了篓子。以后自己还是要多留意,关键时刻外部公司未必靠得住。
分享到:
评论
2 楼 di1984HIT 2018-03-09  
xuexil!!!
1 楼 zm9913 2015-11-18  
今天遭遇了同样的事,学习了,谢谢

相关推荐

    阿里云linux一键安装web环境

    阿里云Linux一键安装Web环境是针对开发者和运维人员设计的一款便捷工具,旨在简化在阿里云Linux服务器上配置Web服务的过程。这个安装包包含了所有必要的组件,使得用户无需手动逐个安装和配置,大大节省了时间并降低...

    超详细介绍阿里云的使用

    在使用阿里云的过程中,Linux操作系统扮演着重要的角色。Linux是一种开源、免费的操作系统,被广泛应用于服务器领域,包括阿里云的各种实例类型。以下是对阿里云与Linux结合使用的详细讲解: 1. **创建ECS实例**:...

    8、阿里云的使用.pdf.zip

    在大数据领域,阿里云MaxCompute是面向企业级的大数据处理平台,能够处理PB级别的数据,支持SQL查询,适合批量处理和分析。DataWorks则是大数据开发套件,提供项目管理、数据开发、数据治理等功能,提升大数据开发...

    阿里云Linux CentOS 7.2下自建MySQL的root密码忘记的解决方法

    在阿里云Linux CentOS 7.2环境下,如果自建MySQL数据库的root用户密码不幸遗忘,我们仍然可以通过一系列的操作步骤来恢复root用户的访问权限。以下详细知识点说明了在该环境下如何处理忘记MySQL root密码的问题。 ...

    阿里云计算与大数据V1.pptx

    阿里云的技术层次(云计算 & 大数据)业务应用基础设施飞天分布式云操作系统联机事物处理(OLTP)联机分析处理(OLAP)大数据分析及处理内容管理搜索检索x86 服务器 & Linux弹性计算服务SLB/ECS( 分布式 ) 关系数据库...

    linux一键安装web全教程(含安装包)

    本教程将聚焦于在Linux环境下快速搭建Web服务的全过程,适用于阿里云平台。通过提供的"Linux一键安装web环境全攻略.pdf"和"Linux一键安装web环境使用教程.pdf",您可以学习到如何高效地完成这一任务。 首先,我们来...

    LINUX网站建设技术指南.rar

    了解AWS、Google Cloud、阿里云等云服务提供商的Linux实例管理,以及KVM、OpenVZ等虚拟化技术,为网站提供弹性和可扩展性。 总之,《LINUX网站建设技术指南》涵盖了从基础到高级的全方面知识,旨在帮助读者在Linux...

    Linux的基础教程.pdf

    - **AWS、Azure、阿里云等云计算平台**:提供基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)等多种服务。 - **Hadoop、Spark 等大数据处理与分析技术**:处理和分析大规模数据集。 #### 学习资源...

    优站系统源码

    了解Linux系统管理和云服务提供商如阿里云或AWS的使用也很重要。 通过分析优站系统源码,开发者可以学习到一个完整的数据处理流程,从数据采集到展示,再到后台管理,涵盖了Web开发的多个重要环节,对提升全栈开发...

    【精品】ZStack云盾安全方案-v1.0-外部版.pptx

    该方案旨在解决企业在云安全上的顾虑,包括系统漏洞、黑客攻击以及安全事件的快速响应。 ZStack的优势在于其简洁的安装和升级流程,相比OpenStack的复杂性和VMware的成本高昂,ZStack提供了更为友好的用户体验。它...

    [电子商务]在线订票系统源码(毕业设计)_ticketweb

    11. **部署与运维**:系统可能部署在云服务器上,如阿里云或AWS,需要了解Linux服务器管理、Nginx配置、Docker容器化技术等。 12. **版本控制**:Git是常见的版本控制系统,用于代码的版本管理和团队协作。 这个...

    (精品)PHP视频点播系统源码

    4. **视频存储**:可能使用云存储服务如AWS S3或阿里云OSS,也可能在本地服务器存储视频文件。 5. **视频播放**:通过HTML5的Video标签进行播放,可能支持分段加载和缓存,提高用户体验。 6. **视频管理**:管理员...

    tomcat7.59/7.65/7.79linux版

    在描述中提到,这些版本在阿里云CentOS7环境下运行良好,这意味着它们与流行的Linux发行版兼容,并且在服务器部署场景下表现出稳定性和可靠性。 Apache Tomcat是一款开源的Java Servlet容器,主要用来部署和运行...

    基于PHP的Qchan图床(集成贴图库云存储).zip

    5. **云存储API**:如阿里云OSS、腾讯云COS的SDK使用,了解API调用、签名机制、文件上传下载流程。 6. **图片处理**:可能包含图片的缩略图生成、格式转换、尺寸调整等,可能用到GD库或Imagick库。 7. **安全考虑*...

    毕设:基于stm32+树莓派+springboot的小程序智能家居控制系统设计与实现.zip

    7. 云平台集成:可能需要将树莓派上的数据上传到云平台,如阿里云或腾讯云,以便进行大数据分析、远程监控等功能。这需要理解云计算服务的基本概念和API调用。 8. 整体架构设计:系统设计应包括硬件与软件的集成、...

    服务器运维工程师工作的基本职责范围.docx

    5. **虚拟化和云服务**:拥有虚拟化平台(如阿里云、AWS)的运维经验是加分项。云服务的运维包括服务器资源管理、规划和成本控制。 6. **项目管理和故障响应**:运维工程师需规划网络架构,管理网络设备,处理故障...

    中企网交友系统

    图片处理可能涉及到图像压缩、格式转换、云存储服务(如阿里云OSS、腾讯云COS)等。同时,为了保护用户隐私,图片和日记的访问权限控制也是必不可少的。 综上所述,中企网交友系统不仅是一个社交工具,也是一个涉及...

    处理器A 级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告1 ... - 安天实验室1

    - **云服务**:亚马逊、微软、谷歌、腾讯云、阿里云等主要云服务提供商需要应对这一挑战。 - **私有云**:私有云的安全性可能较弱,更容易成为攻击目标。 - **桌面用户**:桌面用户可能遭遇结合Spectre和Meltdown...

    python 开发 智慧校园考试系统程序源码适合新手

    8. **部署与运维**:开发完成后,需要将应用部署到服务器,如Heroku、AWS或阿里云等。了解基本的Linux命令、Nginx配置和Gunicorn/Wsgi服务器的使用是必要的。 9. **安全考虑**:确保系统的安全性至关重要,包括防止...

    致知信息管理系统

    5. **文件上传与下载**:信息管理系统包含了文件的上传和下载功能,这涉及到文件存储策略(本地存储、云存储如阿里云OSS)、文件大小限制、文件类型的检查以及防盗链策略。此外,为了提升用户体验,可能还会实现断点...

Global site tag (gtag.js) - Google Analytics