centos7.6 有些問題不是我遇到的 也一併記錄
伺服器執行緩慢,cpu飆公升,top一下,懷疑是挖礦程式.
這個病毒還不是算很**,很多挖礦病毒,使用top命令都看不到挖礦程式的程序。
執行命令ps -aux --sort=-pcpu|head -10
基本確定就是這兩程序了
kill -9 [pid] 基本沒用,肯定還會出現
先把這四個檔案刪除再說
刪後面兩個時出現operation not permitted
lsattr -a 檢視檔案的屬性
這些屬性共有以下8種模式:
a:讓檔案或目錄僅供附加用途。
b:不更新檔案或目錄的最後訪問時間。
c:將檔案或目錄壓縮後存放。
d:將檔案或目錄排除在傾倒操作之外。
i:不得任意更動檔案或目錄。
s:保密性刪除檔案或目錄。
s:即時更新檔案或目錄。
u:預防以外刪除。
語法chattr[-rv][-v《版本編號》][+/-/=《屬性》][檔案或目錄…]引數
-r 遞迴處理,將指定目錄下的所有檔案及子目錄一併處理。
-v《版本編號》 設定檔案或目錄版本。
-v 顯示指令執行過程。
+《屬性》 開啟檔案或目錄的該項屬性。
-《屬性》 關閉檔案或目錄的該項屬性。
=《屬性》 指定檔案或目錄的該項屬性。
執行命令chattr -i tty1 分別去掉對應屬性 然後刪除
阿里雲伺服器有云查殺功能
把對應木馬程式刪除
檢視開機啟動項
systemctl list-unit-files | grep enable
為服務新增開機啟動項
systemctl enable zabbix-server.service
移除木馬程式的開機啟動項
[root@localhost bin]# systemctl disable zabbix-server.service
removed symlink /etc/systemd/system/multi-user.target.wants/zabbix-server.service.
根據阿里雲報警資訊 是docker remote api未授權訪問漏洞
參考 docker remote api未授權訪問漏洞分析和利用
安全建議
伺服器:
禁用 root
使用者名稱和密碼盡量複雜
修改 ssh 的預設 22 埠
安裝 denyhosts 防暴力破解軟體
禁用密碼登入,使用 rsa 公鑰登入
參考linux安全建議
redis:
修改預設埠6379
禁用公網 ip 監聽,包括 0.0.0.0
配置auth, 設定密碼, 密碼會以明文方式儲存在redis配置檔案中
使用較低許可權帳號執行 redis
記一次伺服器被攻擊經歷
從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...
記一次伺服器被攻擊的處理
今天早上上班看了一下京東雲的控制台,發現有一系列被攻擊的記錄。如下圖 如圖所示,被攻擊的埠是xshell遠端訪問的預設埠號22和mysql的預設埠號3306,明顯是ip被公開後的暴力破解,一旦被破解後果則不堪設想了。於是,馬上改預設的埠號。第一步,改ssh埠號 找到ssh服務配置檔案路徑一般都是在 ...
記 第一次伺服器被挖礦
搭建了那麼多台伺服器,終於有人來搞我了。還有點小激動是怎麼一回事 首先發現的,還是公司裡乙個主管網路的大佬。他盯著公司裡每乙個ip的上下行,然後發現 哎呀,這個機子有點不對勁啊。遂通知主管,然後就到我這裡了。然後,由於本人的linux知識還是太匱乏,書到用時方恨少,排查問題多彎路啊,唉。然後我突然想...