记一次阿里云被入侵的解决方案(小白攻略欢迎大佬指点)

这篇具有很好参考价值的文章主要介绍了记一次阿里云被入侵的解决方案(小白攻略欢迎大佬指点)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

前言:

寻找挖矿进程之旅:

我的处理思路:


前言:

故事就发生在2022年11月23日,一个舒适的下午。我不知怎的突然想在企业网络环境下通过我的Xshell7 连接我的阿里云ESC服务器。顺便检查一下我1年前自己搭的小破站是否还健在(域名备案失效了,我本想去检查一下服务在不在跑)。结果Xshell死活连接不上,通过阿里云官网实例提供的远程连接可以正常访问。我嗖的一下从座位上站了起来,很快啊。映入眼帘的error:10053,激发了我想要解决它的冲动,防火墙,安全组,selinux ,ssh端口,sshd服务是否在跑,用户名密码是否正确。这些就是我脑子里的第一反应,毕竟用ssh连接阿里云我早就轻车熟路了。然而现实是残酷的,这些都不是问题的所在。但我却为下一位来宾默默的关闭了防火墙等一系列安全措施。csdn上关于这个报错也有很多攻略,发现基本没一个适合我这种情况,改ssh端口,修改什么配置文件都实验了一圈依然无果。我最后果断的联系了阿里云的客服小姐姐,提交了工单。最后工程师让我用移动热点测试一下,一语中的,果然可以。那不就是网络问题,我由于一开始通过网页可以连接云服务器就大意了,认为网络一定没问题。其实我忽略了一个东西,网页连接云服务器跟Xshell连接云服务器用到的协议跟端口都是不一样的,虽然我连接的主机跟云ESC都没问题。但是企业的防火墙上会不会做了某种限制呢。我想这就是问题所在。连上之后随便撸了一眼就草草结束了。时间来到了第二天,开始进入正题,阿里云官方给我打了个电话告诉我您的ESC存在挖矿行为,请尽快整改,否则就闭门大吉。

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 /tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

寻找挖矿进程之旅:

接下来,我就开始了寻找挖矿进程之旅。先top一下看看资源使用情况

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

我勒个去,什么鬼东西都把我cpu跑满了。记下PID为15647的进程,先杀为敬。(人狠话还多)

[root@WZY666 ~]# kill -9 15647

找与进程相关的文件

[root@WZY666 ~]# find / -name "kswapd0"
/home/wzy/.configrc2/a/kswapd0
/tmp/.X25-unix/.rsync/a/kswapd0

分别去看一下里面有些什么东西(一定要加-a 参数因为有些是隐藏文件)

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 看我发现了啥,定时任务文件cron.d 进去撸一眼

1 1 */2 * * /home/wzy/.configrc2/a/upd>/dev/null 2>&1
@reboot /home/wzy/.configrc2/a/upd>/dev/null 2>&1
5 8 * * 0 /home/wzy/.configrc2/b/sync>/dev/null 2>&1
@reboot /home/wzy/.configrc2/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1

说说我自己的理解(不一定正确)

第一个任务是执行upd脚本,每两天的1点零1分执行,将输出信息重定向全部丢弃掉,不会在终端显示。第二个任务是每天8点零5分执行sync脚本,输出信息重定向到null中。

第三个任务是每3天零点零分执行aptitude脚本。所有脚本执行完后都会进行一次重启,并且将脚本的所有输出信息定向到/dev/null里。接下去看一下所有执行的脚本

[root@WZY666 .configrc2]# cat a/upd 
#!/bin/sh
cd /home/wzy/.configrc2/a
if test -r /home/wzy/.configrc2/a/bash.pid; then
pid=$(cat /home/wzy/.configrc2/a/bash.pid)
if $(kill -CHLD $pid >/dev/null 2>&1)
then
exit 0
fi
fi
./run &>/dev/null

[root@WZY666 .configrc2]# cat b/sync 
#!/bin/sh
cd /home/wzy/.configrc2/b
./run

[root@WZY666 .configrc2]# cat /tmp/.X25-unix/.rsync/c/aptitude 
#!/bin/sh
cd /tmp/.X25-unix/.rsync/c
./run &>/dev/null

不难看出三个脚本都是进入某个目录下运行run这个脚本。所以接着去找对应的run脚本

第一个定时任务对应的run脚本。很明显就是判断主机是32位还是64位,然后分别执行对应的程序。如果是32位执行anacron ,如果是64位执行kswapd0 。这与我之前发现的挖矿进程正好匹配。

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

第二个定时任务对应的run脚本。这个脚本有部分内容我也看不懂,看着像是删除ssh连接的记录,创建属于自己的登录密钥,感觉可以实现直接用密钥对登录主机的操作。即使你将来改变了密码,它照样能通过这种方法登录进来(纯个人理解,要有大佬懂可以在下方评论)

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 第三个定时任务,统计主机cpu具体型号信息和核数,然后根据核心数判断该执行那种脚本。我这边只有1核心,满足$PR -lt 7 这种情况,所以会先执行./stop脚本再执行./go 脚本

 /tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 /tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 接着看stop脚本和go脚本

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

上图就是stop脚本,看着就是杀各种进程。

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 go脚本,配置脚本执行路径后清除连接过的记录信息。感觉就是事情干完把卫生打扫干净,让人误以为没人进来过。到这边整一套挖矿的程序调用逻辑基本清晰了,接下来就是去解决问题。

我的处理思路:

1.查看sshd的登录连接日志 /var/log/secure

不看不知道,一看吓一跳很好的描述了我当时的心情

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

从这部分日志可以看出对方应该在用爆破字典之类的脚本对我的root用户,疯狂的尝试连接。 

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

此时脚本已经在用admin用户开始新的一轮爆破 。还有huawei、ubuntu、test等诸多用户名从连接测试,ip也开始变化起来。这里不在细说,直接放被爆破的连接吧。

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

以前图方便给wzy这个用户设了一个123456的密码,现在傻眼了。

2.查看所有用户 /home 和 /etc/passwd(找出所有异常的用户并删除)

由于wzy这个用户已经被入侵过了,大家可以先把里面重要的内容备份一下。然后把这个用户彻底删除。命令我汇总一下

userdel -r  要删除的用户名 ,(-r 参数会把这个用户的目录全部删掉,重要的先备份)

kill -9 PID   杀进程 (若用户有进程正在使用,是无法删除用户的)

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 为了删除这个用户,我连删了好几个进程。大家以后可以先看一眼这些进程后运行的是什么脚本

 3.删除/tmp文件下相关的内容

ls -alt  (-a 展示所有隐藏文件 -l 文件详细信息  -t 按时间从近到远 )

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 把可疑的文件都删了(里面的up.txt就是我被爆破的用户名和密码,得知23号下午4点15分就已经被入侵了)

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

4.检查一下所有的定时任务(十分有必要)

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 这里面的内容都建议去检查一遍,尤其是11月23日以后的

5.防火墙,selinux全部设为开机自启动,安全组把ssh端口给禁用了,以后要用到再开。实在想用就修改默认端口号。

systemctl start firewalld

systemctl status firewalld

systemctl enable firewalld

/etc/selinux/config/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

 安全组ssh端口禁用

/tmp/.x25-unix/.rsync/c/aptitude,安全,网络,操作系统,阿里云,云计算,网络安全

6.其他建议安装一个杀毒软件检测一圈,重要的文件做异机备份,ssh添加ip白名单,登录连接失败次数限制等操作都可以很好的规避,黑客的入侵操作。

今天先到这里吧,创作不易,欢迎点赞收藏转发。欢迎大佬们对文章中不正确的部分就行留言和补充。文章来源地址https://www.toymoban.com/news/detail-802530.html

到了这里,关于记一次阿里云被入侵的解决方案(小白攻略欢迎大佬指点)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 记一次MSF永恒之蓝入侵win7系统实验

      目录 1.环境搭建 2.实验开始 1# 保证两个主机之间可以ping通 2# kali打开msfconsole 3# 由于目标为win7系统,我们选择永恒之蓝漏洞攻击(ms17-010) 4# 获取目标机cmd  5# meterpreter基础命令 攻击源ip:192.168.193.130     #系统:kali      镜像下载地址:点击跳转  靶 机  ip:192.168.19

    2024年02月13日
    浏览(37)
  • 阿里云数据迁移工具解决方案:华为云迁移到阿里云

    对于华为云批量迁移到阿里云,HyperMotion可以支持批量一键式安装Agent软件,做到了操作步骤简单化、自动化,可以满足常见源端操作系统类型。 例如:Windows 2003-2019,CentOS、RedHat 6.x-7.x、Ubuntu 14.x - 16.x、SUSE 11spx - 12 spx等多类型操作系统的全场景化覆盖。 Agent代理模式会在源端

    2024年02月03日
    浏览(50)
  • 阿里云|人工智能(AI)技术解决方案

    函数计算部署Stable Diffusion AI绘画技术解决方案 通过函数计算快速部署Stable Diffusion模型为用户提供快速通过文字生成图片的能力。该方案通过函数计算快速搭建了AIGC的能力,无需管理服务器等基础设施,专注模型的能力即可。该方案具有高效免运维、弹性高可用、按需低成本

    2024年02月02日
    浏览(49)
  • SpringBoot整合阿里云OSS文件存储解决方案

    🧑‍💻作者名称:DaenCode 🎤作者简介:啥技术都喜欢捣鼓捣鼓,喜欢分享技术、经验、生活。 😎人生感悟:尝尽人生百味,方知世间冷暖。 📖所属专栏:SpringBoot实战 以下是专栏部分内容,更多内容请前往专栏查看! 标题 一文带你学会使用SpringBoot+Avue实现短信通知功能

    2024年02月08日
    浏览(39)
  • 湛江阿里云代理商:阿里区块链分布式身份服务解决方案服务场景

    简介: 飞机@luotuoemo 本文由(阿里云代理商:【金推云】www.jintui.cn )撰写 阿里云是阿里巴巴集团旗下的全球领先的云计算及人工智能技术公司。其中,阿里云区块链分布式身份服务(BlockChain Trusted Identity Service,以下简称BTID)是阿里云自主研发的一款基于区块链技术的全新

    2024年04月17日
    浏览(50)
  • 阿里云无影升级2.0 云电脑解决方案时代到来

    10月31日,杭州云栖大会上,阿里云宣布无影全新升级2.0:从云电脑到云上解决方案,帮助中小企业更便捷地构建云上办公,并开放无影产品及解决方案能力,为生态合作伙伴提供企业云平台,帮助其打造定制化的云电脑产品及解决方案。 2020年阿里云发布首台云电脑“无影”

    2024年02月06日
    浏览(46)
  • 阿里云ECS服务器无法发送邮件问题解决方案

    这篇文章分享一下自己把项目部署在阿里云ECS上之后,登录邮件提醒时的邮件发送失败问题,无法连接发送邮箱的服务器。 博主使用的springboot提供的发送邮件服务,如下所示,为了实现异步的效果,新开了一个线程来发送邮件。 过了一段时间之后,后台打印出了连接邮箱服

    2024年02月07日
    浏览(47)
  • 探索阿里云安全匹配服务:智能、高效且可靠的解决方案

    项目地址:https://gitcode.com/mindawei/aliyun-safe-match 在这个数字化的时代,数据安全和隐私保护是每个企业和个人都关注的核心问题。阿里云安全匹配服务(Safe Match)是一个旨在解决这一挑战的技术项目,它提供了一种高效且安全的方式来比较和验证敏感信息,而无需暴露原始数据

    2024年04月25日
    浏览(42)
  • 阿里云提示安全组与 VPC 不匹配问题解决方案

    申请一台阿里云-云服务器,在配置网络时,提示: 安全组与 VPC 不匹配,请重新选择 VPC 或 安全组 在【网络】栏中,点击刷新,会自动选择新的网络配置

    2024年02月15日
    浏览(39)
  • 阿里云跨境电商企业出海最佳实践及数字化解决方案

    最近阿里云推出了全球云服务器精选特惠活动,并在活动内提供了跨境电商企业出海最佳实践及数字化解决方案,用户不仅在此可以购买到各种优惠的海外轻量应用服务器和云服务器,同时还能免费查看游戏、跨境文件传输、电商行业业务及数据库上云、电商网站等最佳实践

    2023年04月21日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包