事件描述:阿里雲報警 ——檢測該異常事件意味著您伺服器上開啟了"chargen/dns/ntp/snmp/ssdp"這些udp埠服務,黑客通過向該ecs傳送偽造源ip和源埠的惡意udp查詢包,迫使該ecs向受害者發起了udp ddos攻擊
源ip: xx.xx.xx.xx 源port: 111 目的port: 963
攻擊型別: sunrpc反射攻擊
掃瞄ip頻數: 3
掃瞄tcp包頻數: 11480
持續時間(分鐘): 55
事件說明: 檢測該異常事件意味著您伺服器上開啟了"chargen/dns/ntp/snmp/ssdp"這些udp埠服務,黑客通過向該ecs傳送偽造源ip和源埠的惡意udp查詢包,迫使該ecs向受害者發起了udp ddos攻擊。
解決方案: 自查ecs中19、53、123、161、1900 udp埠是否處於監聽狀態,若開啟就關閉
自查步驟:
netstat -anp|grep :19 無
netstat -anp|grep :53 無
netstat -anp|grep :123 無
netstat -anp|grep :161 無
netstat -anp|grep :1900 無
再檢視111埠
netstat -anp|grep :111[root@ay1310231051059094d8z server]# kill -91953[root@*****server]# netstat -anp|grep :111tcp 00
0.0.0.0:111
0.0.0.0:* listen 1953/portmap
tcp 00
112.124.53.48:111
60.191.29.20:44964 established 1953/portmap
tcp 00
112.124.53.48:111
139.196.13.106:30808 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:54912 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:38893 established 1953/portmap
tcp 00
112.124.53.48:111
120.26.55.211:36599 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:39363 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:46023 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:57406 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:41479 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:39008 established 1953/portmap
tcp 00
112.124.53.48:111
122.224.153.109:51125 established 1953/portmap
tcp 00
112.124.53.48:111
123.59.52.206:44366 established 1953/portmapudp00
0.0.0.0:1110.0.0.0:* 1953/portmap
以上只是臨時解決辦法,實際生產還需要通過指定防火牆規則來過濾才行,畢竟直接停服務就太暴力了,有時候可能會影響伺服器正常業務。
如果業務需要啟動該udp服務,可以啟動並指定防火牆規則來過濾,新增禁止所有規則,新增允許信任源ip
iptables -i input -p udp -m multiport --dport 19,161,111,123,1900 -j drop注:之所以沒有禁止53埠,是因為我用的阿里雲伺服器,其中安騎士和雲監控需要53埠才能連線檢測,否則會失敗。iptables -i input -p udp -m multiport --sport 19,161,111,123,1900 -j drop
iptables -i output -p udp -m multiport --dport 19,161,111,123,1900 -j drop
iptables -i output -p udp -m multiport --sport 19,161,111,123,1900 -j drop
附:linux系統常見木馬清理命令
chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
chattr -i /usr/bin/.swhd
rm -f /usr/bin/.swhd
rm -f -r /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '' | awk -f/ '' | xargs kill all -9
chattr -i /usr/bin/.sshd && rm -f /usr/bin/.sshd && chattr -i /usr/bin/.swhd && rm -f /usr/bin/.swhd && rm -f -r /usr/bin/bsd-port && cp /usr/bin/dpkgd/ps /bin/ps && cp /usr/bin/dpkgd/netstat /bin/netstat && cp /usr/bin/dpkgd/lsof /usr/sbin/lsof && cp /usr/bin/dpkgd/ss /usr/sbin/ss && rm -r -f /root/.ssh && rm -r -f /usr/bin/bsd-port && find /proc/ -name exe | xargsls -l | grep -v task |grep deleted| awk
'' | awk -f/ '
' | xargs
kill all -9
記一次阿里雲伺服器被bbb劫持CPU一直跑滿
因為之前開放docker埠2375所以伺服器就被入侵了,bbb程式一直跑滿伺服器的cpu,而且關不掉,程序關掉後自己就又啟動了,所以是一直有定時任務在背後搗鬼。執行命令 top 可以看到bbb程序佔滿了cpu 然後通過 ps aux grep bbb 命令找到檔案所在位置 var tmp bbb b...
記一次伺服器被攻擊經歷
從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...
記一次伺服器被攻擊的處理
今天早上上班看了一下京東雲的控制台,發現有一系列被攻擊的記錄。如下圖 如圖所示,被攻擊的埠是xshell遠端訪問的預設埠號22和mysql的預設埠號3306,明顯是ip被公開後的暴力破解,一旦被破解後果則不堪設想了。於是,馬上改預設的埠號。第一步,改ssh埠號 找到ssh服務配置檔案路徑一般都是在 ...