阿里云ECS服务器被攻击,植入挖矿程序的处理历程(您的云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问)

目录

[1. 前言](#1. 前言)

[2. 解决步骤](#2. 解决步骤)

2.1控制台查看cpu占用,并在终端查看具体程序

[2.2 查看对外22端口进行访问的进程](#2.2 查看对外22端口进行访问的进程)

[2.3 查看病毒文件位置并删除病毒文件](#2.3 查看病毒文件位置并删除病毒文件)

[2.4 杀掉进程](#2.4 杀掉进程)

[2.5 清理tcp链接](#2.5 清理tcp链接)

[2.6 定时任务排查](#2.6 定时任务排查)

[2.6.1 查看定时任务是否开启](#2.6.1 查看定时任务是否开启)

[2.6.2 清理定时任务](#2.6.2 清理定时任务)

[2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的](#2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的)

[2.8 提醒](#2.8 提醒)


1. 前言

您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查

2. 解决步骤

  1. 修改登录密码
  2. 按照云服务器提示的步骤隔离挖矿文件。

攻击主要是来自22端口的非法访问,下面是实操步骤:

2.1控制台查看cpu占用,并在终端查看具体程序

发现cpu占用不高,挖矿程序还未执行。

2.2 查看对外22端口进行访问的进程

复制代码
netstat -anp |grep :22

这里有一大堆对外访问的但是总的进程就两个,一个是httpd,一个是blitz64

2.3 查看病毒文件位置并删除病毒文件

复制代码
//查看病毒文件位置,上图的2812839/blitz64
cat /proc/6850/cmdline

删除病毒文件

2.4 杀掉进程

复制代码
kill -9 6580

上面2.2 步骤中还有一个10199病毒进程也是同理,重复操作以上2.2~2.4步骤

2.5 清理tcp链接

复制代码
//安装tcpkill工具(centos下的linux命令)
sudo yum install dsniff
//清理tcp链接
tcpkill -i eth0 -9 port 22

2.6 定时任务排查

2.6.1 查看定时任务是否开启

复制代码
systemctl list-unit-files|grep enabled

2.6.2 清理定时任务

复制代码
//查看定时任务
crontab -l

//编辑定时任务
crontab -e

2.6.3 检查定时任务配置文件

复制代码
vim /etc/crontab

这里有多条黄色字,就是被添加的自动执行程序

定时执行curl下载木马、启动的指令

删除这些指令,保存配置

而后,重新杀死木马进程,删除木马程序

service crond restart 重新启动定时服务

这次挖矿代码没有自动复活了

保险起见,再次修改了服务器密码

重启服务器,观察了是否有奇怪的进程

2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的

  • ~:这是一个特殊的符号,代表当前用户的主目录。在Unix和Linux系统中,~ 通常链接到 /home/username,其中 username 是当前登录的用户账户名。
  • /.ssh:是一个隐藏目录(以点 . 开头的目录或文件在Unix和Linux中默认是隐藏的),通常存在于用户的主目录下。这个目录用于存储 SSH 密钥和配置文件。

2.8 提醒

一定要改root密码,或者服务器设置只允许密钥登录,设置开放端口安全组规则

参考阿里云安全中心:

挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)

记一次阿里云ECS被挂挖矿代码的处理历程_xllxr-CSDN博客

云服务器被攻击解决记录_阿里云服务器被攻击22端口-CSDN博客

相关推荐
一个不秃头的 程序员2 分钟前
从 0 到上线、长期运行、后续更新的**全流程**(适配 CentOS 服务器)
linux·服务器·centos
数据要素X28 分钟前
寻梦数据空间 | 架构篇:从概念到落地的技术实践与突破性创新
大数据·运维·数据仓库·微服务·数据治理·数据中台·可信数据空间
玉石观沧海1 小时前
高压变频器故障代码解析F67 F68
运维·经验分享·笔记·分布式·深度学习
海阳宜家电脑1 小时前
SQL Server连接字符串
服务器·网络
努力学习的小廉1 小时前
深入了解linux网络—— 自定义协议(上)
linux·服务器·网络
野犬寒鸦2 小时前
从零起步学习Redis || 第十一章:主从切换时的哨兵机制如何实现及项目实战
java·服务器·数据库·redis·后端·缓存
要做朋鱼燕3 小时前
【AES加密专题】1.AES的原理详解和加密过程
运维·网络·密码学·c·加密·aes·嵌入式工具
yunson_Liu3 小时前
jenkins更新了gitlab后出现报错
运维·gitlab·jenkins
iconball3 小时前
个人用云计算学习笔记 --19 (MariaDB服务器)
linux·运维·笔记·学习·云计算
Lynnxiaowen3 小时前
今天我们开始学习python3编程之python基础
linux·运维·python·学习