【转】阿里云Linux系统被攻击的处理过程
4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的《毁灭之城:地球碎块》,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器【阿里云】”。用“gmail”打开邮件,没有太多有用的内容:“经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽快排查您的安全隐患。如恶意发包行为持续12小时候我们会下发脚本策略封禁您对外发包端口。且不会影响您正常对外业务及应用。如发现此类恶意发包行为持续将视为之前封禁动作无效。36小时后我们将关停您的主机,请您务必重视。谢谢。”
马上联系金蝶外包公司DC技术人员AL(之前该系统由其配置、实施),打了数次电话都被拒绝,后来发了短信给他,他的回复:“我在开会,稍后回复。”、“如果是服务器问题,可以联系下阿里的服务解决”。后来,就没有后来了……
最后还是要靠自己来处理。回到家先登录进阿里云网站,阿里的云盾提示“密码破解拦截(7天)45次,由于您的密码设置过于简单,已被成功破解1次,建议修改密码。”之前AL同学设置的密码的确比较简单,想不到就出事了。不过阿里的云盾也很傻X,只是傻乎乎的拦截,没有禁用对方的IP,结果就给别人暴力破解了。而且“密码破解拦截”的报警设置默认居然是“短信”、“邮箱”都没有勾选上。网络监控图中出网图已经是高高的山峰。
先用ssh连服务器,连不上。还好这是云服务器,不然就只能跑机房了,现在可以通过管理终端连上去。连上去后,重启sshd服务 /etc/init.d/sshd restart,stop的时候失败,估计是给骇客停止了。重启后ssh可以连上。然后用netstat -an 、top 命令查看可疑进程。结果发现有不明进程syn很活跃。用 ps afx|grep syn 找出syn进程的位置,在/root目录下。杀掉syn进程,ping该云服务器马上恢复正常了。然后删除syn文件,但是过了一会,syn文件又自动出现、自动运行。还是杀掉syn进程,但是这次不删除syn文件了,只是去掉它的可执行权限:chmod u-x ./syn 这个方式貌似凑效了。但是母体程序还在,还是要继续处理才行。
用lsof命令查syn,得到下面的结果:
lsof -p 3439
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
syn 3439 root cwd DIR 202,1 4096 655361 /root
syn 3439 root rtd DIR 202,1 4096 2 /
syn 3439 root txt REG 202,1 1223123 655842 /root/syn
syn 3439 root 0u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 1u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 2u CHR 1,3 0t0 3866 /dev/null
syn 3439 root 3uW REG 202,1 4 403182 /tmp/gates.lod
syn 3439 root 4u raw 0t0 16175174 00000000:0011->00000000:0000 st=07
syn 3439 root 5u IPv4 16175175 0t0 TCP 112.124.39.48:44550->183.56.173.59:entp (ESTABLISHED)
syn 3439 root 6u raw 0t0 16189523 00000000:0006->00000000:0000 st=07
查看.bash_history,惊奇的发现骇客的命令历史还在(同时也发现byobu里面输入的命令没有记录下来的):
./syn &
killall syn
./syn &
killall sshd
继续查看系统的登录日志:more /var/log/secure |grep Accepted,有两条可疑的日志:
Apr 22 19:24:47 iZ238bx2fk5Z sshd[20073]: Accepted password for root from 222.186.21.154 port 3504 ssh2
Apr 22 19:38:56 iZ238bx2fk5Z sshd[20599]: Accepted password for root from 183.56.173.96 port 3452 ssh2
222.186.21.154这个ip和云盾里面的记录是一致的,应该是攻击ip无疑。通过ip.cn网站查询:
查询的 IP:222.186.21.154 来自:江苏省镇江市 电信
查询的 IP:183.56.173.96 来自:广东省潮州市 电信
查询的 IP:183.56.173.59 来自:广东省潮州市 电信
不过用last命令查,就只查到
root pts/5 183.56.173.96 Wed Apr 22 19:38 - 19:40 (00:01)
猜测222.186.21.154是用来做暴力攻击的肉鸡(24分攻破),攻击成功后发送信息给183.56.173.96(38分就连上来)。syn运行后继续跟183.56.173.*连接,接受真正的攻击指令,对目标发起DDOS攻击。
用Google搜索“linux 自动复制文件 木马”,找到这篇文章“ 一次linux删除文件后又自动生成就是中木马的情况的解决过程”(http://dadloveu.blog.51cto.com/715500/1579168),得到提示,在系统中也找到 /usr/bin/.sshd这个伪装进程,而且日期也是4-22的。
用find /usr -ctime -1 命令还找到好些伪装程序出来。干掉.sshd之后,再删除syn,syn终于不会原地复活。
继续用 "/usr/bin/.sshd" sync conf.n 搜索,找到这篇“centos netstat和ps感染木马解决方案(http://crx.xmspace.net/netstat_ps_trojan_clean.html)”,有很多吻合的地方,估计这次就是中了这个木马了。基本照着清理,最后一步强制重新安装三个软件包,是先yum -y install yum-utils,再通过yumdownloader 来下载rpm包。
rpm -q net-tools
net-tools-1.60-110.el6_2.x86_64
yumdownloader net-tools
rpm -ivh net-tools-1.60-110.el6_2.x86_64.rpm --force --nodeps
rpm -q procps
procps-3.2.8-25.el6.x86_64
yumdownloader procps
rpm -ivh procps-3.2.8-30.el6.x86_64.rpm --force --nodeps
rpm -q lsof
lsof-4.82-4.el6.x86_64
yumdownloader lsof
rpm -ivh lsof-4.82-4.el6.x86_64.rpm --force --nodeps
以上都处理完之后,修改sshd端口,修改root密码为复杂字串,装上denyhosts扼杀暴力攻击于萌芽状态。
世界那么大,恶意者总不会少,服务器放在公网上还是要多加小心。之前自己配置的服务器都很谨慎,这次因为是第三方公司配置的,而且由于种种原因那台服务器很少介入就出了篓子。以后自己还是要多留意,关键时刻外部公司未必靠得住。
原文链接:http://ivan.iteye.com/blog/2205402
【转】阿里云Linux系统被攻击的处理过程的更多相关文章
- [分享]运维分享一一阿里云linux系统mysql密码修改脚本
[分享]运维分享一一阿里云linux系统mysql密码修改脚本 大象吃豆子 级别: 小白 发帖 12 云币 27 加关注 写私信 只看楼主 更多操作楼主 发表于: 2014-09-3 ...
- Centos6.8阿里云linux系统下配置LAMP运行环境-mysql5.6
1.Apache #安装apache软件 yum -y install httpd #启动httpd服务 service httpd start #设置开机启动chkconfig --list htt ...
- 一次Linux系统被攻击的分析过程
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先 ...
- 阿里云Linux系统挂载数据盘
Linux云服务器数据盘未做分区和格式化,我们可以根据以下步骤进行分区以及格式化操作. 目录 [隐藏] 1 查看数据盘 2 对数据盘进行分区 3 查看新的分区 4 格式化新分区 5 添加分区信息 6 ...
- 阿里云 linux 系统的架构
简单说,/lib是内核级的,/usr/lib是系统级的,/usr/local/lib是用户级的. /lib/ — 包含许多被 /bin/ 和 /sbin/ 中的程序使用的库文件.目录 /usr/lib ...
- 阿里云Linux系统基线检查优化
1.用户权限配置文件的权限优化 描述:设置用户权限配置文件的权限 操作时建议做好记录或备份 chown root:root /etc/passwd /etc/shadow /etc/group /et ...
- 阿里云Linux系统Nginx配置多个域名的方法
Nginx绑定多个域名,可通过把多个域名规则写一个配置文件里实现,也可通过分别建立多个域名配置文件实现,为了管理方便,建议每个域名建一个文件,有些同类域名则可写在一个总的配置文件里. 1. 比如我想建 ...
- 阿里云(百度云)Linux系统挂载磁盘
阿里云(百度云)Linux系统挂载磁盘
- 阿里云Linux安装软件镜像源
阿里云Linux安装软件镜像源 阿里云是最近新出的一个镜像源.得益与阿里云的高速发展,这么大的需求,肯定会推出自己的镜像源.阿里云Linux安装镜像源地址:http://mirrors.aliyun. ...
随机推荐
- zabbix对网卡流量超出添加阈值
给网卡设置流量阈值: 配置告警路径: Configuration--Templates--Template OS Linux--Discovery--Network interface discove ...
- NCE2
1.A private conversation Last week I went to the theatre. I had a very good seat. The play was very ...
- Python3中内置类型bytes和str用法及byte和string之间各种编码转换
Python 3最重要的新特性大概要算是对文本和二进制数据作了更为清晰的区分.文本总是Unicode,由str类型表示,二进制数据则由bytes类型表示.Python 3不会以任意隐式的方式混用str ...
- BZOJ4571:[SCOI2016]美味(主席树,贪心)
Description 一家餐厅有 n 道菜,编号 1...n ,大家对第 i 道菜的评价值为 ai(1≤i≤n).有 m 位顾客,第 i 位顾客的期望值为 bi,而他的偏好值为 xi . 因此,第 ...
- 【CF163E 】e-Government
题目 两个\(log\)的树状数组套树剖? 我们对于给出的\(n\)个模式串建立\(AC\)自动机,之后对于每一个询问串直接丢上去匹配 如果这里是暴力的话,我们直接一路跳\(fail\)累加作为结束位 ...
- centos7 tengine 安装
Tengine是由淘宝网发起的Web服务器项目.它在Nginx的基础上,针对大访问量网站的需求,添加了很多高级功能和特性.Tengine的性能和稳定性已经在大型的网站如淘宝网,天猫商城等得到了很好的检 ...
- Docker实战(七)之为镜像添加SSH服务
1.基于commit命令创建 Docker提供了docker commit命令,支持用户提交自己对制定容器的修改,并生成新的镜像.命令格式为docker commit CONTAINER [REPOS ...
- Linux 无法连接网络排查方法
.hosts文件增加 127.0.0.1 对localhost的解析. .检查/etc/resove.cnf dns配置是否正确 .route命令检查是否有默认路由,没有就 route add 网段 ...
- idea 如何优雅的添加.ignore 忽略不必要提交的文件
最近有点时间然后就跑去搜了下idea热门的插件,一不小心发现了一个.ignore插件.有过在idea使用git都知道.gitignore文件,而这个插件就是能优雅的帮我们做这件事. 首先先讲下安装这个 ...
- 使用CSS3的“transition ”属性控制长宽度的缓慢变化
有时候我们可能会想要改变某个资源信息的长宽度,比如改变某个div的宽度,而且需要让这个宽度缓慢改变,而不是突然就改变了.这时候你可能会想到使用jquery的animate()函数,不过这个方法既得引用 ...