執行top命令:
image.png
google搜尋第一條顯示這是乙個礦機程式。
image.png
那就是說明雲伺服器被礦機程式破解了。
image.png
有兩個可執行程式ddgs.3013和qw3xt.2
image.png
1,刪掉/tmp下的ddgs.3013和qw3xt.2
2.,刪掉cron任務
雲伺服器上近期搭建了乙個redis服務,沒採用密碼驗證,挖礦程式就是通過redis拿到了系統的控制權。
redis 預設情況下,會繫結在 0.0.0.0:6379,這樣將會將redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意使用者在可以訪問目標伺服器的情況下未授權訪問redis以及讀取redis的資料。攻擊者在未授權訪問redis的情況下可以利用redis的相關方法,可以成功將自己的公鑰寫入目標伺服器的 /root/.ssh 資料夾的authotrized_keys 檔案中,進而可以直接登入目標伺服器。
redis 安全模型的觀念是: 「請不要將redis暴露在公開網路中, 因為讓不受信任的客戶接觸到redis是非常危險的」 。
redis 作者之所以放棄解決未授權訪問導致的不安全性是因為, 99.99%使用redis的場景都是在沙盒化的環境中, 為了0.01%的可能性增加安全規則的同時也增加了複雜性, 雖然這個問題的並不是不能解決的, 但是這在他的設計哲學中仍是不划算的。
因為其他受信任使用者需要使用redis或者因為運維人員的疏忽等原因,部分redis 繫結在0.0.0.0:6379,並且沒有開啟認證(這是redis的預設配置),如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任** ip訪問等,將會導致redis服務直接暴露在公網上,導致其他使用者可以直接在非授權情況下直接訪問redis服務並進行相關操作。
利用redis自身的相關方法,可以進行寫檔案操作,攻擊者可以成功將自己的公鑰寫入目標伺服器的 /root/.ssh 資料夾的authotrized_keys檔案中,進而可以直接登入目標伺服器。 (導致可以執行任何操作)
參考
伺服器被攻擊分析
伺服器一直在裸奔,三年多來也一直沒有啥問題,直到最近發現訪問非常緩慢,一開始我們也沒有在意,因為所處的機房,近些日子線路問題不斷,以為是線路問題,直到被機房通知伺服器被攻擊了,由於已經影響到了其他機子,把我們限流了。突然間感覺就是兩眼發蒙,總結問題如下 機房遠在香港,無法立即到機房處理問題。機房也沒...
記伺服器被 ssh scan 攻擊
解決辦法 另外,除此之外,更苦惱的是系統命令像top,都不能用,其他有的各種問題,最後終於發現是被入侵的時候 系統命令檔案好多被加了 隱藏屬性 root ubuntu3 usr bin lsattr grep s s ia md5sum.textutils s ia pstree.x11 s ia ...
dos 伺服器攻擊程式
dos.c created on jun 10,2014 author lexus include include include include include include include include include include include define localport 118...