首页 > 安全 > 网络安全 > 正文
云服务器被入侵记录及防护措施
2017-07-17 10:37:51       个评论    来源:Co_zy的博客  
收藏    我要投稿

这次入侵发生在半年前,那时候还没建立CSDN,今天记录一下.

服务器:腾讯云学生机

Centos6.x

1核 1GB 1Mbps

Wordpress最近爆出漏洞,不少用户遭到攻击.

这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图

这里写图片描述

之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口

这里写图片描述

之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。

本以为问题就这么结束了,我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死,我执行cd / 后,看到根目录产生了几个异常文件,如下图

这里写图片描述

通过cmd.n文件 可以看到 此命令关掉了我的防火墙,

然后从一个服务器下载了expl文件并执行,后来证明为linux backdoor gates5

于是我直接将它们删除,当时还没意识到感染很严重。

后来我在/root目录里陆续发现了一些异常文件,我下载了clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。

于是我在全盘搜索了一下 find / -name conf.n

发现在好几个目录里都存在着个文件,还看到一个.getty的文件

我去网上搜索了一下这个文件,发现这就是linux backdoor gates5导致的,服务器已经变成黑客的肉鸡,被植入了DDOS程序。

还有那个conf.n文件是无法删除的,一删除立即会出现

我之前还用过top命令查看过谁占用的进程,

其实这根本没事因为

ps top这些命令早就本替换掉

通过

ll /bin/ps

查看大小,也证实了这一点

文件大于1M。

如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统

总结

最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,

可能那就是源头,也不一定是吧,如果那条评论我没通过

以下是几点防护措施

1,修改ssh的默认端口

2,禁止root账号登陆

3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root

4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉

5,mysql只允许自己登陆,禁掉其它

点击复制链接 与好友分享!回本站首页
上一篇:如何有效地预防手机APP诈骗?
下一篇:“神起”僵尸网络的诱捕与反击(上)
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站