阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)

目录

[1. 前言](#1. 前言)

[2. 解决步骤](#2. 解决步骤)

2.1控制台查看cpu占用,并在终端查看具体程序

[2.2 查看对外22端口进行访问的进程](#2.2 查看对外22端口进行访问的进程)

[2.3 查看病毒文件位置并删除病毒文件](#2.3 查看病毒文件位置并删除病毒文件)

[2.4 杀掉进程](#2.4 杀掉进程)

[2.5 清理tcp链接](#2.5 清理tcp链接)

[2.6 定时任务排查](#2.6 定时任务排查)

[2.6.1 查看定时任务是否开启](#2.6.1 查看定时任务是否开启)

[2.6.2 清理定时任务](#2.6.2 清理定时任务)

[2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的](#2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的)

[2.8 提醒](#2.8 提醒)


1. 前言

您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查

2. 解决步骤

  1. 修改登录密码
  2. 按照云服务器提示的步骤隔离挖矿文件。

攻击主要是来自22端口的非法访问,下面是实操步骤:

2.1控制台查看cpu占用,并在终端查看具体程序

发现cpu占用不高,挖矿程序还未执行。

2.2 查看对外22端口进行访问的进程

复制代码
netstat -anp |grep :22

这里有一大堆对外访问的但是总的进程就两个,一个是httpd,一个是blitz64

2.3 查看病毒文件位置并删除病毒文件

复制代码
//查看病毒文件位置,上图的2812839/blitz64
cat /proc/6850/cmdline

删除病毒文件

2.4 杀掉进程

复制代码
kill -9 6580

上面2.2 步骤中还有一个10199病毒进程也是同理,重复操作以上2.2~2.4步骤

2.5 清理tcp链接

复制代码
//安装tcpkill工具(centos下的linux命令)
sudo yum install dsniff
//清理tcp链接
tcpkill -i eth0 -9 port 22

2.6 定时任务排查

2.6.1 查看定时任务是否开启

复制代码
systemctl list-unit-files|grep enabled

2.6.2 清理定时任务

复制代码
//查看定时任务
crontab -l

//编辑定时任务
crontab -e

2.6.3 检查定时任务配置文件

复制代码
vim /etc/crontab

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了是否有奇怪的进程

2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的

  • ~:这是一个特殊的符号,代表当前用户的主目录。在Unix和Linux系统中,~ 通常链接到 /home/username,其中 username 是当前登录的用户账户名。
  • /.ssh:是一个隐藏目录(以点 . 开头的目录或文件在Unix和Linux中默认是隐藏的),通常存在于用户的主目录下。这个目录用于存储 SSH 密钥和配置文件。

2.8 提醒

一定要改root密码,或者服务器设置只允许密钥登录,设置开放端口安全组规则

参考阿里云安全中心:

挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)

记一次阿里云ECS被挂挖矿代码的处理历程_xllxr-CSDN博客

云服务器被攻击解决记录_阿里云服务器被攻击22端口-CSDN博客

相关推荐
无敌暴龙兽z1 小时前
离线环境安装elk及设置密码认证
运维·elk
好奇的菜鸟2 小时前
如何在 Ubuntu 24.04 (Noble) 上使用阿里源
linux·运维·ubuntu
bcbobo21cn2 小时前
初步了解Linux etc/profile文件
linux·运维·服务器·shell·profile
wayuncn2 小时前
月付物理服务器租用平台-青蛙云
运维·服务器·服务器租用·服务器托管·物理机租用
望获linux2 小时前
【实时Linux实战系列】CPU 隔离与屏蔽技术
java·linux·运维·服务器·操作系统·开源软件·嵌入式软件
0wioiw03 小时前
C#基础(项目结构和编译运行)
linux·运维·服务器
2401_873587824 小时前
Linux常见指令以及权限理解
linux·运维·服务器
RW~4 小时前
Minio安装配置,桶权限设置,nginx代理 https minio
运维·nginx·https·minio
李洋-蛟龙腾飞公司4 小时前
HarmonyOS NEXT应用元服务常见列表操作分组吸顶场景
linux·运维·windows
链上Sniper4 小时前
智能合约状态快照技术:实现 EVM 状态的快速同步与回滚
java·大数据·linux·运维·web3·区块链·智能合约