事件描述:阿里云报警 ——检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击

源IP: xx.xx.xx.xx 源PORT: 111 目的PORT: 963

攻击类型: SunRPC反射攻击

扫描IP频数: 3

扫描TCP包频数: 11480

持续时间(分钟): 55

事件说明: 检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击。

解决方案: 自查ECS中19、53、123、161、1900 UDP端口是否处于监听状态,若开启就关闭

自查步骤:

netstat -anp|grep :19    无

netstat -anp|grep :53    无

netstat -anp|grep :123    无

netstat -anp|grep :161    无

netstat -anp|grep :1900    无

再查看111端口

netstat -anp|grep :

tcp               0.0.0.0:                 0.0.0.0:*                   LISTEN      /portmap        

tcp               112.124.53.48:           60.191.29.20:          ESTABLISHED /portmap        

tcp               112.124.53.48:           139.196.13.106:        ESTABLISHED /portmap                

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           120.26.55.211:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           122.224.153.109:       ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

udp               0.0.0.0:111                 0.0.0.0:*                               /portmap

[root@AY1310231051059094d8Z server]# kill -9 1953

[root@*****server]# netstat -anp|grep :111

以上只是临时解决办法,实际生产还需要通过指定防火墙规则来过滤才行,毕竟直接停服务就太暴力了,有时候可能会影响服务器正常业务。

如果业务需要启动该UDP服务,可以启动并指定防火墙规则来过滤,添加禁止所有规则,添加允许信任源IP

iptables -I INPUT -p udp -m multiport --dport ,,,, -j DROP

iptables -I INPUT -p udp -m multiport --sport ,,,, -j DROP

iptables -I OUTPUT -p udp -m multiport --dport ,,,, -j DROP

iptables -I OUTPUT -p udp -m multiport --sport ,,,, -j DROP

注:之所以没有禁止53端口,是因为我用的阿里云服务器,其中安骑士和云监控需要53端口才能连接检测,否则会失败。

附:linux系统常见木马清理命令

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

chattr -i /usr/bin/.swhd

rm -f /usr/bin/.swhd

rm -f -r /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

chattr -i /usr/bin/.sshd && rm -f /usr/bin/.sshd && chattr -i /usr/bin/.swhd && rm -f /usr/bin/.swhd && rm -f -r /usr/bin/bsd-port && cp /usr/bin/dpkgd/ps /bin/ps && cp /usr/bin/dpkgd/netstat /bin/netstat && cp /usr/bin/dpkgd/lsof /usr/sbin/lsof && cp /usr/bin/dpkgd/ss /usr/sbin/ss && rm -r -f /root/.ssh && rm -r -f /usr/bin/bsd-port && find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -

记一次阿里云服务器被用作DDOS攻击肉鸡的更多相关文章

  1. 阿里云服务器挖矿脚本bioset攻击解决

    1.问题出现 一大早刚起床,阿里云就给我发了一条短信,提醒我服务器出现紧急安全事件:挖矿程序 阿里云“贴心”地提供了解决方法,不过需要购买企业版的安全服务,本着能自己动手就不花钱原则自己搞了起来 于是 ...

  2. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  3. 【转载】网站服务器运维记实:阿里云1核2G突发性能t5服务器突然变得卡顿

    阿里云突发性能服务器1核2G的t5服务器在高资源利用率的情况下运行一段时间后,发现服务器反应变得很慢,通过windows远程桌面连接上服务器后查看到CPU性能一直在90%到100%之间,无法降下来.前 ...

  4. 阿里云服务器上配置并使用: PHP + Redis + Mysql 从配置到使用

    (原创出处为本博客,http://www.cnblogs.com/linguanh/) 目录: 一,下载 二,解压 三,配置与启动 四,测试 Redis 五,配置 phpRedis 扩展 六,综合测试 ...

  5. 在阿里云服务器上配置CentOS+Nginx+Python+Flask环境

    在阿里云服务器上配置CentOS+Nginx+Python+Flask环境 项目运行环境 阿里云(单核CPU, 1G内存, Ubuntu 14.04 x64 带宽1Mbps), 具体购买和ssh连接阿 ...

  6. 如何把php项目部署到阿里云服务器window server2012__含公网ip访问时jquery/ajax失效解决办法

    记一次蛋疼的折腾. 弄了一晚上最后发觉是360浏览器的问题,换个浏览器就好了.垃圾360用什么IE7文档模式.导致界面和功能失效. 建议大家测试的时候用firefox或者chrome. 项目部署到服务 ...

  7. 阿里云服务器CentOS7.5安装RabbitMQ

    RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件(亦称面向消息的中间件).RabbitMQ服务器是用Erlang语言编写的,而集群和故障转移是构建在开放电信平台框架上的. 为什么 ...

  8. xshell连接不上阿里云服务器Could not connect to 'ip' (port 22): Connection failed.解决过程

    记一次xshell阿里云服务器突然连接不上的解决办法: 1, 确认阿里云服务器安全组出入都有22,百度出来都说的这个和ip拦截设置,以防万一都设置了:但楼主设置后,还是连不上服务器: 只好下一步 2, ...

  9. 部署flask到阿里云服务器ECS

    比较难的一点是:部署到云服务器上之后,通过公网没法访问. 这就要说回道 本地开发时的一个小细节:通过http://127.0.0.1:5000是可以访问的,但通过http://[本地ip]:5000是 ...

随机推荐

  1. php微信生成微信公众号二维码扫描进入公众号带参数

    https://blog.csdn.net/qq_22823581/article/details/80248555 <?php namespace app\api\model; set_tim ...

  2. (五)JavaScript 变量

    JavaScript 变量 与代数一样,JavaScript 变量可用于存放值(比如 x=5)和表达式(比如 z=x+y). 变量可以使用短名称(比如 x 和 y),也可以使用描述性更好的名称(比如 ...

  3. Vultr服务器端口

    腾讯云服务器迁移到Vultr https://www.fengxianqi.com/index.php/archives/105/ 防火墙策略组开启22和80端口 IPV6的模块可以先不管,然后在Li ...

  4. hyperledge环境安装

    1.安装环境 1)本机安装 前提是已经安装好了docker\docker-compose\go,相应的内容可见 docker-1-环境安装及例子实践 docker官方文档学习-1-Docker for ...

  5. sendmail简单配置

    yum -y install sendmail sendmail-cfservice sendmail startservice saslauthd statusif [ $? -ne 0 ];the ...

  6. ASP MD5

    <% Private Const BITS_TO_A_BYTE = 8 Private Const BYTES_TO_A_WORD = 4 Private Const BITS_TO_A_WOR ...

  7. Nginx+IIS简单的部署

    随着互联网项目用户访问量不断上升,单点web服务器是无法满足大型高并发高负载的业务处理的,为了给web服务器做负载均衡方案,打算采用Nginx搭建负载均衡服务器,把用户请求分配到N个服务器来缓解服务器 ...

  8. ReactJs入门教程-精华版

    原文地址:https://www.cnblogs.com/Leo_wl/p/4489197.html阅读目录 ReactJs入门教程-精华版 回到目录 ReactJs入门教程-精华版 现在最热门的前端 ...

  9. Maven项目pom.xml文件简单解析

    Maven项目pom.xml简单解析 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="h ...

  10. A2D JS框架 - DES加密解密 与 Cookie的封装(C#与js互相加密解密)

    这次实现了JS端的DES加密与解密,并且C#端也能正确解析DES的密文(反之也实现了) 使用的代码如下,非常方便: <script src="A2D.js" type=&qu ...