阿里雲被黑

2021-10-25 21:01:04 字數 4168 閱讀 4678

3月19號手機收到大量阿里雲報警簡訊,檢視報警內容。

木馬程式:

進入/usr/bin 檢視ps命令是否被修改

-rw-r--r--    1 root root         55 aug 25  2016 ps

-rw-r--r-- 1 root root 28504 oct 1 01:20 pstree

果然修改了屬性,馬上新增回去

>chmod +x ps

>chmod +x pstree

chmod: changing permissions of 『pstree』: operation not permitted

pstree命令修改失敗,使用lsattr檢視

>lsattr pstree

----i--------e-- pstree

果然加了i,去掉

>chattr -i pstree
終於兩個命令都執行成功了

>cd/root/.ssh/

-rw------- 1 root root 399 mar 19 22:08 authorized_keys //黑客新增

-rw------- 1 root root 399 mar 19 22:08 authorized_keys2 //黑客新增

-rw------- 1 root root 1675 mar 2 2019 id_rsa

-rw-r--r-- 1 root root 398 mar 2 2019 id_rsa.pub

執行刪除

>rm -rf authorized_keys

rm: cannot remove 『authorized_keys』: operation not permitted

root使用者沒許可權,檢視lsattr

lsattr authorized_keys

-----a---------- authorized_keys

並沒有加i,但是刪除a屬性後,就可以刪除成功

>chattr -a authorized_keys

>rm -rf authorized_keys

>crontab -l //檢視root使用者的計畫任務

no crontab for root

難道是新增了其他使用者

>cat /etc/passwd

hilde:x:1000:1000::/home/hilde:/bin/bash //多了一條

進入home目錄檢視新增的使用者

>cd cd /home/

drwx------ 6 csx csx 4096 nov 29 2018 csx

drwxr-xr-x 3 root root 4096 mar 19 22:08 hilde //果然新增了使用者,還給了root許可權,果斷刪除

drwx------ 2 mysql mysql 4096 jul 14 2018 mysql

每個使用者有乙個以使用者名稱命名的crontab檔案,存放在/var/spool/cron/crontabs目錄裡。但是未發現定時任務。

>cd /var/spool/cron

>ls -a

. ..

根據阿里的報警資訊,可疑檔案路徑:/var/spool/cron/temp-13987.rdb,也沒找到這個檔案。不管這麼多,直接刪除/var/spool/cron資料夾

檢視定時任務日誌,並沒有資料

>cd /var/log

>ll |grep cron

-rw------- 1 root root 0 mar 14 03:44 cron

-rw------- 1 root root 0 feb 15 03:29 cron-20210221

-rw------- 1 root root 0 feb 21 03:24 cron-20210301

-rw------- 1 root root 0 mar 1 03:40 cron-20210307

-rw------- 1 root root 0 mar 7 03:19 cron-20210314

centos7自啟項已不用chkconfig改為: systemctl list-unit-files

>systemctl list-unit-files |grep enable

assistdaemon.service enabled

atd.service enabled

auditd.service enabled

[email protected] enabled

cloud-config.service enabled

cloud-final.service enabled

cloud-init-local.service enabled

...

linux給我們提供了7中不同的啟動級別0~6,使用者自定義開機程式(/etc/rc.d/rc.local)

>cd /etc/rc.d

drwxr-xr-x. 2 root root 4096 mar 22 11:50 init.d

drwxr-xr-x. 2 root root 4096 mar 16 2020 rc0.d

drwxr-xr-x. 2 root root 4096 mar 16 2020 rc1.d

drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc2.d

drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc3.d

drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc4.d

drwxr-xr-x. 2 root root 4096 sep 28 11:38 rc5.d

drwxr-xr-x. 2 root root 4096 mar 16 2020 rc6.d

-rw-r--r-- 1 root root 536 jul 14 2018 rc.local

>ll -rta   //最近修改的檔案,包括隱藏檔案
a:即atime,告訴系統不要修改對這個檔案的最後訪問時間。

s:即sync,一旦應用程式對這個檔案執行了寫操作,使系統立刻把修改的結果寫到磁碟。

b:不更新檔案或目錄的最後訪問時間。

c:將檔案或目錄壓縮後存放。

d:當dump程式執行時,該檔案或目錄不會被dump備份。

d:檢查壓縮檔案中的錯誤。

i:即immutable,系統不允許對這個檔案進行任何的修改。如果目錄具有這個屬性,那麼任何的程序只能修改目錄之下的檔案,不允許建立和刪除檔案。

s:徹底刪除檔案,不可恢復,因為是從磁碟上刪除,然後用0填充檔案所在區域。

u:當乙個應用程式請求刪除這個檔案,系統會保留其資料塊以便以後能夠恢復刪除這個檔案,用來防止意外刪除檔案或目錄。

t:檔案系統支援尾部合併(tail-merging)。

x:可以直接訪問壓縮檔案的內容。

本文由部落格**一文多發等運營工具平台 openwrite 發布

阿里郎與阿里雲

因為機緣巧合,申請試用了一下阿里雲。近期雲計算太火了,到處雲裡來霧裡去。這次總算趕了一趟時髦。我試用的是雲伺服器。這裡有好多雲產品,除了雲伺服器,還有雲儲存 雲資料庫什麼的。所謂的雲伺服器,看起來就像乙個虛擬伺服器 vps 可以遠端桌面,在裡面安裝系統。那它跟vps有什麼區別?查了查資料,大概是這樣...

阿里雲服務 阿里雲專家服務介紹

阿里雲專家服務,提供從諮詢到實施 從遷雲到護航的全週期專業服務,滿足各場景下的服務需求。第一 上雲前提供,諮詢與設計服務 針對評估 規劃 建設 遷移或優化系統的需求,提供基於阿里雲產品特性和最佳實踐的遷移 建設或優化方案。1.遷雲諮詢服務 提供遷雲前的專業設計和諮詢。評估業務系統遷移阿里雲平台的可行...

阿里雲基礎

slb serevr load balance 負載均衡 dns domain name system 網域名稱系統 ecs elatics compule service 彈性計算伺服器 rds relational datebase service 關聯式資料庫 cdn content deli...