記一次阿里雲伺服器被bbb劫持CPU一直跑滿

2021-10-07 01:22:10 字數 934 閱讀 2280

因為之前開放docker埠2375所以伺服器就被入侵了,bbb程式一直跑滿伺服器的cpu,而且關不掉,程序關掉後自己就又啟動了,所以是一直有定時任務在背後搗鬼。

執行命令 top   可以看到bbb程序佔滿了cpu

然後通過 ps aux|grep bbb 命令找到檔案所在位置 /var/tmp/bbb/bbb 

通過 crontab -l 命令檢視定時任務

然後執行 echo > /var/spool/cron/root 會發現許可權不夠 

執行 lsattr /var/spool/cron/root 檢視特殊許可權

chattr -ia /var/spool/cron/root  清楚特殊許可權

再執行  echo > /var/spool/cron/root 成功刪除定時任務

然後執行 kill -9 bbb程序號 關閉程序 清理crontab檔案

然後執行chattr -u /var/tmp/bbb/bbb   

chattr -ia /var/tmp/bbb/bbb         清除bbb檔案特殊許可權

再使用 rm -rf /var/tmp/bbb 刪除原始檔

然後 top 檢視bbb程序是否被刪除

建議2375等一些重要埠,設定為固定**ip才能訪問,不然這些埠很容易被黑客利用 

記一次阿里雲伺服器被用作DDOS攻擊肉雞

事件描述 阿里雲報警 檢測該異常事件意味著您伺服器上開啟了 chargen dns ntp snmp ssdp 這些udp埠服務,黑客通過向該ecs傳送偽造源ip和源埠的惡意udp查詢包,迫使該ecs向受害者發起了udp ddos攻擊 源ip xx.xx.xx.xx 源port 111 目的port...

記一次伺服器被攻擊經歷

從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh exchange identification read connection reset by peer 也谷歌很多種原因和解決方案,無非是分兩種 一是執行緒滿了,需要更改配置檔案把max session 調大...

記一次伺服器被攻擊的處理

今天早上上班看了一下京東雲的控制台,發現有一系列被攻擊的記錄。如下圖 如圖所示,被攻擊的埠是xshell遠端訪問的預設埠號22和mysql的預設埠號3306,明顯是ip被公開後的暴力破解,一旦被破解後果則不堪設想了。於是,馬上改預設的埠號。第一步,改ssh埠號 找到ssh服務配置檔案路徑一般都是在 ...