记录一次阿里云服务器被攻击的经历

Posted Doyourself!

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记录一次阿里云服务器被攻击的经历相关的知识,希望对你有一定的参考价值。

    前些天买了阿里云服务器,无奈最近没空登录。安装了tomcat jdk maven mq jenkins 等几个服务后,找了个以前做的项目在上面跑了下,没问题后一周没怎么登录过。然后这几天手机一直收到服务器在异地被登录的消息,想想自己服务器什么也没有,过几天修改下密码就行了吧,结果今天早上又发了条短信,说 服务器 出现了紧急安全事件:挖矿进程。 无语,之后登录上服务器后果然发现cpu占用近乎100%,top命令 查看是哪个进程占用了cpu,之后kill -9 杀死后 过了几秒又重启无奈了啊。。。

      上网搜,问同事,仍然没有解决。之后想了想,既然杀死后又会重新启动,是不是 里面有自动任务或者脚本在执行。系统是centos7的,嗯,先试试怎么查看  centos7有哪些自动任务在执行。果然是有:

     crontab -u 用户名 -l    //查看 该用户下有 哪些自动任务

     嗯果然是看到一条。。。

    * * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1

    之后 vim 看了下 是一个脚本,刚开始 自己用root 命令 删除了下,不管用 ,cpu满的哪个还是会重启。 嗯,切换到 对应的用户下,再删除下试试。删除后又切换到root 用户,再次kill -9 pid 后 发现 不重启了 。。。 好吧 ,赶紧修改阿里云登录密码。。。

  总结下大概步骤是这样的:

 

   1.  top命令 查看 是哪个用户占用cpu

  2.kill -9 杀死进程后,如果又重新重启,使用crontab -u 用户名 -l 查看哪个 用户下有哪些自动任务 比如我的 * * * * * /var/tmp/.c/.f/upd >/dev/null 2>&1 

   3.su 切换到对用的用户下,rm -rf 命令 删除 /var/tem/.c/.f/upd 

   4.重新kill -9 进程id, 此时没有再次重启

   5 修改阿里云登录密码并重启阿里云服务器

 

 

    天空又变得晴朗了。

以上是关于记录一次阿里云服务器被攻击的经历的主要内容,如果未能解决你的问题,请参考以下文章

记一次阿里云服务器被用作DDOS攻击肉鸡

记录一次linux服务器被侵入攻击的现象

如果阿里云服务器被攻击了该怎么办?

如果阿里云服务器被攻击了该怎么办?

预警| Confluence 高危漏洞被大规模利用,阿里云WAF接入即可防护,支持免费应急服务

阿里云Linux系统被攻击的处理过程