公司伺服器被攻破後的處理
阿新 • • 發佈:2019-02-01
公司的兩臺伺服器被攻擊了,不停地向外傳送ddos攻擊,需要我馬上處理。首先ssh登陸伺服器,發現它響應特別慢。幾乎沒有辦法通過ssh客戶端操作伺服器,登陸阿里雲網頁控制端,終於可以正常執行傳送的命令了。
首先嚐試了將佔用cpu比較高的那個程序殺死,但是沒有用,過一會就繼續會起來一個其他的程序來不停地發包。從網上搜索了一下(http://www.ipastimes.com/post/86.html, http://www.kaisir.com/2015/07/ji-yi-ze-linux-bing-du-di-chu-li.html),說可以從cron上面找到痕跡,開啟一看,果然增加了一個和網上描述一致的ssh啟動,剩下的事情就簡單了按照網上的描述,將這個木馬乾掉,然後重啟,果然不亂髮包了。
但是個人感覺只是清除了發包的程式,黑客還是有root許可權可以隨時登陸伺服器的,改密碼恐怕沒有那麼管用,於是用whereis passwd查詢修改密碼的可執行程式,果然發現比正常的大了好多,很顯然被改了,用正常的替換了之後修改密碼。感覺這樣是不是可以了。但是當天晚上我們的伺服器又被攻擊了。redis服務寫不進去東西了。從網上搜索了一下,終於找到黑客是怎麼攻破我們的系統的了。我們的redis服務是沒有限制的,直接暴露在公網上,黑客可以通過它來向/root/.ssh下寫入ssh免密登陸的私鑰。然後就可以直接遠端登陸了,我們的修改密碼沒有任何作用。找到問題後,首先把root下這個資料夾刪掉了。反正我們這臺伺服器沒有hadoop服務,這臺伺服器是不需要免密登陸的。然後就是將redis服務改成限制ip訪問。修改這裡的時候,一開始以為是可以配置訪問的ip的,但是怎麼嘗試都不行。後來搜尋發現,他的ip是用來限制訪問自己的本機ip的。就是bind一個ip後,其他程式訪問redis只能通過bind的ip來訪問,我修改成了阿里伺服器內網ip。除非是來自阿里的伺服器攻擊,否則是訪問不了的。本來想嘗試一下增加密碼訪問的,可是java端程式碼怎麼增加配置,沒有找到方法。暫時算是堵上了這個口子。
然後想從網上下載一款防毒軟體來查一下,找到了clamav。
安裝apt-get install clamav
更新病毒庫執行freshclam
全盤掃描clamscan -r -i / -l /root/clamav.log
將發現的感染的程式都刪掉了。