阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)

目录

[1. 前言](#1. 前言)

[2. 解决步骤](#2. 解决步骤)

2.1控制台查看cpu占用,并在终端查看具体程序

[2.2 查看对外22端口进行访问的进程](#2.2 查看对外22端口进行访问的进程)

[2.3 查看病毒文件位置并删除病毒文件](#2.3 查看病毒文件位置并删除病毒文件)

[2.4 杀掉进程](#2.4 杀掉进程)

[2.5 清理tcp链接](#2.5 清理tcp链接)

[2.6 定时任务排查](#2.6 定时任务排查)

[2.6.1 查看定时任务是否开启](#2.6.1 查看定时任务是否开启)

[2.6.2 清理定时任务](#2.6.2 清理定时任务)

[2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的](#2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的)

[2.8 提醒](#2.8 提醒)


1. 前言

您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查

2. 解决步骤

  1. 修改登录密码
  2. 按照云服务器提示的步骤隔离挖矿文件。

攻击主要是来自22端口的非法访问,下面是实操步骤:

2.1控制台查看cpu占用,并在终端查看具体程序

发现cpu占用不高,挖矿程序还未执行。

2.2 查看对外22端口进行访问的进程

复制代码
netstat -anp |grep :22

这里有一大堆对外访问的但是总的进程就两个,一个是httpd,一个是blitz64

2.3 查看病毒文件位置并删除病毒文件

复制代码
//查看病毒文件位置,上图的2812839/blitz64
cat /proc/6850/cmdline

删除病毒文件

2.4 杀掉进程

复制代码
kill -9 6580

上面2.2 步骤中还有一个10199病毒进程也是同理,重复操作以上2.2~2.4步骤

2.5 清理tcp链接

复制代码
//安装tcpkill工具(centos下的linux命令)
sudo yum install dsniff
//清理tcp链接
tcpkill -i eth0 -9 port 22

2.6 定时任务排查

2.6.1 查看定时任务是否开启

复制代码
systemctl list-unit-files|grep enabled

2.6.2 清理定时任务

复制代码
//查看定时任务
crontab -l

//编辑定时任务
crontab -e

2.6.3 检查定时任务配置文件

复制代码
vim /etc/crontab

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了是否有奇怪的进程

2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的

  • ~:这是一个特殊的符号,代表当前用户的主目录。在Unix和Linux系统中,~ 通常链接到 /home/username,其中 username 是当前登录的用户账户名。
  • /.ssh:是一个隐藏目录(以点 . 开头的目录或文件在Unix和Linux中默认是隐藏的),通常存在于用户的主目录下。这个目录用于存储 SSH 密钥和配置文件。

2.8 提醒

一定要改root密码,或者服务器设置只允许密钥登录,设置开放端口安全组规则

参考阿里云安全中心:

挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)

记一次阿里云ECS被挂挖矿代码的处理历程_xllxr-CSDN博客

云服务器被攻击解决记录_阿里云服务器被攻击22端口-CSDN博客

相关推荐
fuyongliang12322 分钟前
Linux Shell 脚本基础002
linux·运维·服务器
aitav022 分钟前
⚡ Linux find 命令参数详解
linux·运维·服务器·bash·gnu
元启君1 小时前
银行IT运维人必看!IT运维监控指标大全,一篇讲透
运维
老实巴交的麻匪1 小时前
(四)学习、实践、理解 CI/CD 与 DevOps:流水线工具 Pipeline
运维·云原生·自动化运维
小晶晶京京2 小时前
day43-Ansible-PlayBook
linux·运维·学习·ansible
荣光波比2 小时前
Shell 秘典(卷二)——号令延展秘术 与 流程掌控心法・if 天机判语篇精解
linux·运维·服务器·云计算
奋斗的蛋黄3 小时前
Ansible 核心运维场景落地:YUM 仓库、SSH 公钥、固定 IP 配置技巧
linux·运维·服务器·自动化·ansible
fuyongliang1233 小时前
Linux Shell 脚本基础
linux·运维·服务器
三不原则4 小时前
Jenkins 全方位指南:安装、配置、部署与实战应用(含图解)
运维·jenkins
稚辉君.MCA_P8_Java4 小时前
HTTP的状态码有哪些,并用例子说明一下
java·服务器·jvm·http·kubernetes