2. 程式人生 > >伺服器被入侵的教訓

伺服器被入侵的教訓

阿新 發佈:2019-01-14

http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401123258&idx=1&sn=2c375b090db14500c7b5cca3ae94fa31&scene=5&srcid=121187OieeQ1gfXyXFOYcbpl#rd

今天一臺伺服器突然停了,因為是阿里雲的伺服器,趕緊去阿里雲檢視,發現原因是阿里雲監測到這臺伺服器不斷向其他伺服器發起攻擊,便把這臺伺服器封掉了

明顯是被入侵做為肉雞了

處理過程

(1)檢視登陸的使用者

通過 who 檢視,當前只有自己

通過 last 檢視,的確有不明ip登陸記錄

(2)安裝阿里雲的安騎士



(3)修改ssh埠、登陸密碼,限定指定IP登陸

(4)檢查開機自啟動程式,沒有異常

(5)檢查定時任務

發現問題,定時任務檔案中有下面的內容

REDIS0006?crackitA?
ssh-rsa AAAAB3NzaC1y......bVMcIVHPyiP3/y/bliZ6JZC7jnZLk6kMvGw== [email protected]
??B??.?)

可以看到是被設定ssh免密碼登陸了,漏洞就是redis

檢查redis的配置檔案,密碼很弱,並且沒有設定bind,修改,重啟redis

刪除定時任務檔案中的那些內容,重啟定時服務

(6)把阿里雲中雲盾的監控通知項全部選中,通知手機號改為最新的手機號

(7)配置iptables,嚴格限制各個埠


總結教訓

根本原因就是安全意識薄弱,平時過多關注了公司產品層面,忽略了安全基礎

從上面的處理過程可以看到,沒有複雜的東西,都是很基本的處理方式

對伺服器的安全配置不重視,例如redis的安全配置很簡陋、ssh一直用預設埠、阿里雲已有的安全設定沒有做、阿里雲的安全監控通知沒有重視

網路安全是很深奧的,但如果提高安全意識,花點心思把安全基礎做好,肯定可以避免絕大部分的安全事故

這個教訓分享給向我一樣系統安全意識不高的伺服器管理者

相關推薦

伺服器入侵教訓

http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401123258&idx=1&sn=2c375b090db14500c7b5cca3ae94fa31&scene=5&srci

伺服器入侵當做挖礦肉雞

早上到公司發現zabbix有一個報警:一臺伺服器的CPU使用率達到100%! 1.立即登入該伺服器檢視CPU top10 ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head 發現 有一個yam開頭的程序C

發現小伺服器入侵了 cpu長期100%

前兩天用路由開了個外網埠,把自己的一臺centos6.5桌上型電腦掛上了外網。還挺有成就感的。 定時任務裡有個每晚23點30自動關機的操作。昨天發現沒有自動關機,沒在意就手動關了。 今天本想檢視一下定時任務,排查下問題。 後來發現竟然給入侵了,用來跑比特幣挖礦: cron

伺服器 redis 入侵

這幾天伺服器上的 redis,出現了一個比較嚴重的問題: 程式返回錯誤: MISCONF Redis is configured to save RDB snapshots, but is currently not able to persist on disk. Commands tha

伺服器挖礦入侵,程序 command為ld-linux-x86-64佔用cpu很高

測試伺服器看到 ld-linux-x86-64的程序佔用cpu極高,user 是 mysql 的。 測試環境不會有這麼高的mysql負載,並且記憶體佔用基本為0。區塊鏈技術盛行,讓人不得不懷疑被抓去做礦機了。 初步排查 [[email protected]

設定安全的伺服器,防止入侵

再發一遍~10大國外代理伺服器網站1http://www.stayinvisible.com/index.pl/proxy_list 不使用軟盤載入驅動安裝系統的方法--使用nLite整合驅動整合驅動程式到系統安裝盤---圖片多是因為適應不同使用者的需求,其實操作過程很簡單,

linux如何判斷伺服器是否入侵

實驗幾個步驟,借鑑網友資料,分享給網友。非常感謝網上提供資料幫助的網友。 1-當時誰登入。 W (檢視以往登入資訊,注意SHELL視窗最大化,才不會報錯:68 column is too narrow) [拓展使用#whois IP地址(追查IP所

網站伺服器中病毒或入侵怎麼辦?

網站伺服器中毒或被入侵,使用者訪問網站時自動下載病毒,防毒軟體彈出病毒的提示。還有的網站只是被篡改,在網站程式碼中加入很多連結,不容易發現。 網站伺服器中毒或被入侵以下幾種情況導致的: 第一種情況:網站存在檔案上傳漏洞,導致黑客可以使用這漏洞,上傳黑客檔案。然

伺服器黑該如何查詢入侵、攻擊痕跡

當公司的網站伺服器被黑,被入侵導致整個網站,以及業務系統癱瘓,給企業帶來的損失無法估量,但是當發生伺服器被攻擊的情況,作為伺服器的維護人員應當在第一時間做好安全響應,對伺服器以及網站應以最快的時間恢復正常執行,讓損失減少到最低,針對於黑客攻擊的痕跡應該如何去查詢溯源,還原伺服

阿里雲伺服器挖礦程式minerd入侵的終極解決辦法

歡迎掃碼加入Java高知群交流       突然發現阿里雲伺服器CPU很高,幾乎達到100%,執行 top c 一看,嚇一跳,結果如下: 3798 root 20 0 386m 7852 1272 S 300.0 0.1 4355:11 /tm

檢查linux是否入侵

檢查linux是否被入侵是否安裝gcc gcc-c++ makeyum install -y gcc gcc-c++ make官方網站為 http://www.chkrootkit.org 解壓:tar zxf chkrootkit.tar.gzcd chkrootkitmake sense檢查腳本:#!/b

服務器怎麽做才能減少入侵

8.0 有助於 最大 級別 網段 網絡管理 我們 負載均衡 ever 2880990294拒絕服務攻擊的發展從拒絕服務攻擊已經有了很多的發展,簡單Dos到DdoS。那麽什麽是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Den

windows入侵檢測

str 攻擊 splay 開放 隱藏 刪除 tle 用戶 netstat 1.net user 查看當前有哪些用戶 2.net localgroup administrators 查詢administrators最高權限組有哪些用戶 3.net user adminis

記一次服務器入侵的調查取證

TP 應用 html mon down 幾分鐘 log 一個 elf文件 0×1 事件描述 小Z所在公司的信息安全建設還處於初期階段,而且只有小Z新來的一個信息安全工程師,所以常常會碰到一些疑難問題。一天,小Z接到運維同事的反映,一臺tomcat 的web服務器雖然安裝了殺

入侵和刪除木馬程序的經歷

com nco mov 開啟 ash 描述 第一次 auth ddos攻擊 a、/bin/ps,/bin/netsta程序都是1.2M的大小,顯然是被人掉包了   b、/usr/bin/.dbus-daemon--system 進程還帶了一個點,跟哪個不帶點的很像,但終

redis免密登錄入侵解決方式

kill 阿裏雲服務 pid $2 cpu ron nth oot 設置 redis免密登錄被入侵解決方式(部分來源:Kworkerd惡意挖礦分析,記錄阿裏雲服務器被minerd和kworkerds感染作祟) 入侵最根本原因: redis沒有設置密碼,並且開放任意ip可以通

Linux伺服器黑客攻擊,安全檢查方法

一、檢查系統密碼檔案,檢視檔案修改日期 # ls -l /etc/passwd   二、檢視 passwd 檔案中有哪些特權使用者 # awk -F: '$3==0 {print $1}' /etc/passwd   三、檢視系統裡有沒有空口令帳戶 #

再一次入侵之潛伏的挖礦病毒

今天是11月10號,正在忙著做雙十一凌晨流量衝擊的加固工作,登入xx伺服器的時候無意間發現CPU的使用率達到了70%,按常理分析,xx伺服器資源不會使用這麼高的,ps 排序一下程序資源使用,如下圖: 果然,有一個高負載的程序“-sh”,佔用CPU達到了599%, 據經驗分析,這絕逼又是

記一次伺服器爆破 防護歷程

在騰訊雲搞了一個雲主機, 安裝了寶塔的服務, 第三天登陸 後臺發現有兩個ip在爆破root 密碼, 雖然對自己的密碼強度比較自信, 但是被人惦記也是很難受。決定做點什麼 。。。。 直接進入正題: 1. 最基本的建議就是:平時登陸和工作的時候都使用普通使用者進行操作 直接禁用root

修復網站漏洞對phpmyadmin防止入侵提權的解決辦法

phpmyadmin是很多網站用來管理資料庫的一個系統,尤其是mysql資料庫管理的較多一些,最近phpmysql爆出漏洞,尤其是弱口令,sql注入漏洞,都會導致mysql的資料賬號密碼被洩露,那麼如何通過phpmyadmin來上傳提權webshell呢 首先我們來搭建一下PHP+mysql環境,lin