3月19號手機收到大量阿里雲報警簡訊,檢視報警內容。
木馬程式:
進入/usr/bin 檢視ps命令是否被修改
-rw-r--r-- 1 root root 55 aug 25 2016 ps
-rw-r--r-- 1 root root 28504 oct 1 01:20 pstree
>chmod +x ps
>chmod +x pstree
chmod: changing permissions of 『pstree』: operation not permitted
>lsattr pstree
----i--------e-- pstree
>chattr -i pstree>cd/root/.ssh/
-rw------- 1 root root 399 mar 19 22:08 authorized_keys //黑客新增
-rw------- 1 root root 399 mar 19 22:08 authorized_keys2 //黑客新增
-rw------- 1 root root 1675 mar 2 2019 id_rsa
-rw-r--r-- 1 root root 398 mar 2 2019 id_rsa.pub
>rm -rf authorized_keys
rm: cannot remove 『authorized_keys』: operation not permitted
lsattr authorized_keys
-----a---------- authorized_keys
>chattr -a authorized_keys
>rm -rf authorized_keys
>crontab -l //檢視root使用者的計畫任務
no crontab for root
>cat /etc/passwd
hilde:x:1000:1000::/home/hilde:/bin/bash //多了一條
>cd cd /home/
drwx------ 6 csx csx 4096 nov 29 2018 csx
drwxr-xr-x 3 root root 4096 mar 19 22:08 hilde //果然新增了使用者,還給了root許可權,果斷刪除
drwx------ 2 mysql mysql 4096 jul 14 2018 mysql
>cd /var/spool/cron
>ls -a
. ..
檢視定時任務日誌,並沒有資料
>cd /var/log
>ll |grep cron
-rw------- 1 root root 0 mar 14 03:44 cron
-rw------- 1 root root 0 feb 15 03:29 cron-20210221
-rw------- 1 root root 0 feb 21 03:24 cron-20210301
-rw------- 1 root root 0 mar 1 03:40 cron-20210307
-rw------- 1 root root 0 mar 7 03:19 cron-20210314
>systemctl list-unit-files |grep enable
assistdaemon.service enabled
atd.service enabled
auditd.service enabled
[email protected] enabled
cloud-config.service enabled
cloud-final.service enabled
cloud-init-local.service enabled
...
>cd /etc/rc.d
drwxr-xr-x. 2 root root 4096 mar 22 11:50 init.d
drwxr-xr-x. 2 root root 4096 mar 16 2020 rc0.d
drwxr-xr-x. 2 root root 4096 mar 16 2020 rc1.d
drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc2.d
drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc3.d
drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc4.d
drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc5.d
drwxr-xr-x. 2 root root 4096 mar 16 2020 rc6.d
-rw-r--r-- 1 root root 536 jul 14 2018 rc.local
>ll -rta //最近修改的檔案,包括隱藏檔案a:即atime,告訴系統不要修改對這個檔案的最後訪問時間。
s:即sync,一旦應用程式對這個檔案執行了寫操作,使系統立刻把修改的結果寫到磁碟。
b:不更新檔案或目錄的最後訪問時間。
c:將檔案或目錄壓縮後存放。
d:當dump程式執行時,該檔案或目錄不會被dump備份。
d:檢查壓縮檔案中的錯誤。
i:即immutable,系統不允許對這個檔案進行任何的修改。如果目錄具有這個屬性,那麼任何的程序只能修改目錄之下的檔案,不允許建立和刪除檔案。
s:徹底刪除檔案,不可恢復,因為是從磁碟上刪除,然後用0填充檔案所在區域。
u:當乙個應用程式請求刪除這個檔案,系統會保留其資料塊以便以後能夠恢復刪除這個檔案,用來防止意外刪除檔案或目錄。
t:檔案系統支援尾部合併(tail-merging)。
x:可以直接訪問壓縮檔案的內容。
本文由部落格**一文多發等運營工具平台 openwrite 發布
阿里郎與阿里雲
因為機緣巧合,申請試用了一下阿里雲。近期雲計算太火了,到處雲裡來霧裡去。這次總算趕了一趟時髦。我試用的是雲伺服器。這裡有好多雲產品,除了雲伺服器,還有雲儲存 雲資料庫什麼的。所謂的雲伺服器,看起來就像乙個虛擬伺服器 vps 可以遠端桌面,在裡面安裝系統。那它跟vps有什麼區別?查了查資料,大概是這樣...
阿里雲服務 阿里雲專家服務介紹
阿里雲專家服務,提供從諮詢到實施 從遷雲到護航的全週期專業服務,滿足各場景下的服務需求。第一 上雲前提供,諮詢與設計服務 針對評估 規劃 建設 遷移或優化系統的需求,提供基於阿里雲產品特性和最佳實踐的遷移 建設或優化方案。1.遷雲諮詢服務 提供遷雲前的專業設計和諮詢。評估業務系統遷移阿里雲平台的可行...
阿里雲基礎
slb serevr load balance 負載均衡 dns domain name system 網域名稱系統 ecs elatics compule service 彈性計算伺服器 rds relational datebase service 關聯式資料庫 cdn content deli...