阿里云服务器糟肉鸡行为的应对措施

2024-09-06 10:08

本文主要是介绍阿里云服务器糟肉鸡行为的应对措施,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

解决该问题用了两篇博友文章

#########################################################、

注 :第一篇中mtyxkeaofa是病毒,你的服务器上可能是"yam" ,"xxxswrerw"等,灵活变通


1:


linux下如何删除十字符libudev.so病毒文件


    服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:

1.網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。

2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh

1
  */ 3  * * * * root /etc/cron.hourly/gcc.sh

3.查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。

1
2
3
4
5
6
[root @deyu  ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for  i in `cat /proc/net/dev|grep :|awk -F: { 'print $1' }`;  do  ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so. 6
/lib/libudev.so. 6

4.刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。

1
[root @deyu  ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5.使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。

1
[root @deyu  ~]# kill -STOP  16621

6.刪除 /etc/init.d 內的檔案。

1
[root @deyu  ~]# find /etc -name  '*mtyxkeaofa*'  | xargs rm -f

7.刪除 /usr/bin 內的檔案。

1
[root @deyu  ~]# rm -f /usr/bin/mtyxkeaofa

8.查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

1
[root @deyu  ~]# ls -lt /usr/bin | head

9.現在殺掉病毒程序,就不會再產生。

1
[root @deyu  ~]# pkill mtyxkeaofa

10.刪除病毒本體。

1
[root @deyu  ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。



#######################################################################
2.


服务器由于redis未授权漏洞被攻击


昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,

今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中:

START:该进程被触发启动的时间

TIME :该进程实际使用 CPU 运作的时间

COMMAND:该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令(top命令可以查看系统中占用最多资源的进程)

发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)

看到它的pid为473

先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了


服务器由于redis未授权漏洞被攻击


昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,

今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中:

START:该进程被触发启动的时间

TIME :该进程实际使用 CPU 运作的时间

COMMAND:该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令(top命令可以查看系统中占用最多资源的进程)

发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)

看到它的pid为473

先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了

这篇关于阿里云服务器糟肉鸡行为的应对措施的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1141724

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

速盾:直播 cdn 服务器带宽?

在当今数字化时代,直播已经成为了一种非常流行的娱乐和商业活动形式。为了确保直播的流畅性和高质量,直播平台通常会使用 CDN(Content Delivery Network,内容分发网络)服务器来分发直播流。而 CDN 服务器的带宽则是影响直播质量的一个重要因素。下面我们就来探讨一下速盾视角下的直播 CDN 服务器带宽问题。 一、直播对带宽的需求 高清视频流 直播通常需要传输高清视频

一种改进的red5集群方案的应用、基于Red5服务器集群负载均衡调度算法研究

转自: 一种改进的red5集群方案的应用: http://wenku.baidu.com/link?url=jYQ1wNwHVBqJ-5XCYq0PRligp6Y5q6BYXyISUsF56My8DP8dc9CZ4pZvpPz1abxJn8fojMrL0IyfmMHStpvkotqC1RWlRMGnzVL1X4IPOa_  基于Red5服务器集群负载均衡调度算法研究 http://ww

RTMP流媒体服务器 crtmpserver

http://www.oschina.net/p/crtmpserver crtmpserver又称rtmpd是Evostream Media Server(www.evostream.com)的社区版本采用GPLV3授权 其主要作用为一个高性能的RTMP流媒体服务器,可以实现直播与点播功能多终端支持功能,在特定情况下是FMS的良好替代品。 支持RTMP的一堆协议(RT

云原生之高性能web服务器学习(持续更新中)

高性能web服务器 1 Web服务器的基础介绍1.1 Web服务介绍1.1.1 Apache介绍1.1.2 Nginx-高性能的 Web 服务端 2 Nginx架构与安装2.1 Nginx概述2.1.1 Nginx 功能介绍2.1.2 基础特性2.1.3 Web 服务相关的功能 2.2 Nginx 架构和进程2.2.1 架构2.2.2 Ngnix进程结构 2.3 Nginx 模块介绍2.4

阿里云服务器ces

允许公网通过 HTTP、HTTPS 等服务访问实例 https://help.aliyun.com/document_detail/25475.html?spm=5176.2020520101.0.0.3ca96b0b3KGTPq#allowHttp

常见的服务器

常见的Web服务器 1、Tomcat:Tomcat和Java结合得最好,是Oracle官方推荐的JSP服务器。Tomcat是开源的Web服务器,经过长时间的发展,性能、稳定性等方面都非常优秀。 2、Jetty:另一个优秀的Web服务器。Jetty有个更大的优点是,Jetty可作为一个嵌入式服务器,即:如果在应用中加入Jetty的JAR文件,应用可在代码中对外提供Web服务。 3、Resin:

LLM系列 | 38:解读阿里开源语音多模态模型Qwen2-Audio

引言 模型概述 模型架构 训练方法 性能评估 实战演示 总结 引言 金山挂月窥禅径,沙鸟听经恋法门。 小伙伴们好,我是微信公众号《小窗幽记机器学习》的小编:卖铁观音的小男孩,今天这篇小作文主要是介绍阿里巴巴的语音多模态大模型Qwen2-Audio。近日,阿里巴巴Qwen团队发布了最新的大规模音频-语言模型Qwen2-Audio及其技术报告。该模型在音频理解和多模态交互