因為之前開放docker埠2375所以伺服器就被入侵了,bbb程式一直跑滿伺服器的cpu,而且關不掉,程序關掉後自己就又啟動了,所以是一直有定時任務在背後搗鬼。
執行命令 top 可以看到bbb程序佔滿了cpu
然後通過 ps aux|grep bbb 命令找到檔案所在位置 /var/tmp/bbb/bbb
通過 crontab -l 命令檢視定時任務
然後執行 echo > /var/spool/cron/root 會發現許可權不夠
執行 lsattr /var/spool/cron/root 檢視特殊許可權
chattr -ia /var/spool/cron/root 清楚特殊許可權
再執行 echo > /var/spool/cron/root 成功刪除定時任務
然後執行 kill -9 bbb程序號 關閉程序 清理crontab檔案
然後執行chattr -u /var/tmp/bbb/bbb
chattr -ia /var/tmp/bbb/bbb 清除bbb檔案特殊許可權
再使用 rm -rf /var/tmp/bbb 刪除原始檔
然後 top 檢視bbb程序是否被刪除
建議2375等一些重要埠,設定為固定**ip才能訪問,不然這些埠很容易被黑客利用
記一次阿里雲伺服器被用作DDOS攻擊肉雞
事件描述 阿里雲報警 檢測該異常事件意味著您伺服器上開啟了 chargen dns ntp snmp ssdp 這些udp埠服務,黑客通過向該ecs傳送偽造源ip和源埠的惡意udp查詢包,迫使該ecs向受害者發起了udp ddos攻擊 源ip xx.xx.xx.xx 源port 111 目的port...
記一次伺服器被攻擊經歷
從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...
記一次伺服器被攻擊的處理
今天早上上班看了一下京東雲的控制台,發現有一系列被攻擊的記錄。如下圖 如圖所示,被攻擊的埠是xshell遠端訪問的預設埠號22和mysql的預設埠號3306,明顯是ip被公開後的暴力破解,一旦被破解後果則不堪設想了。於是,馬上改預設的埠號。第一步,改ssh埠號 找到ssh服務配置檔案路徑一般都是在 ...