记录一次阿里云服务器被攻击的经历
Posted Doyourself!
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记录一次阿里云服务器被攻击的经历相关的知识,希望对你有一定的参考价值。
前些天买了阿里云服务器,无奈最近没空登录。安装了tomcat jdk maven mq jenkins 等几个服务后,找了个以前做的项目在上面跑了下,没问题后一周没怎么登录过。然后这几天手机一直收到服务器在异地被登录的消息,想想自己服务器什么也没有,过几天修改下密码就行了吧,结果今天早上又发了条短信,说 服务器 出现了紧急安全事件:挖矿进程。 无语,之后登录上服务器后果然发现cpu占用近乎100%,top命令 查看是哪个进程占用了cpu,之后kill -9 杀死后 过了几秒又重启无奈了啊。。。
上网搜,问同事,仍然没有解决。之后想了想,既然杀死后又会重新启动,是不是 里面有自动任务或者脚本在执行。系统是centos7的,嗯,先试试怎么查看 centos7有哪些自动任务在执行。果然是有:
crontab -u 用户名 -l //查看 该用户下有 哪些自动任务
嗯果然是看到一条。。。
* * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1
之后 vim 看了下 是一个脚本,刚开始 自己用root 命令 删除了下,不管用 ,cpu满的哪个还是会重启。 嗯,切换到 对应的用户下,再删除下试试。删除后又切换到root 用户,再次kill -9 pid 后 发现 不重启了 。。。 好吧 ,赶紧修改阿里云登录密码。。。
总结下大概步骤是这样的:
1. top命令 查看 是哪个用户占用cpu
2.kill -9 杀死进程后,如果又重新重启,使用crontab -u 用户名 -l 查看哪个 用户下有哪些自动任务 比如我的 * * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1
3.su 切换到对用的用户下,rm -rf 命令 删除 /var/tem/.c/.f/upd
4.重新kill -9 进程id, 此时没有再次重启
5 修改阿里云登录密码并重启阿里云服务器
天空又变得晴朗了。
以上是关于记录一次阿里云服务器被攻击的经历的主要内容,如果未能解决你的问题,请参考以下文章