阿里云服务器糟肉鸡行为的应对措施

2024-09-06 10:08

本文主要是介绍阿里云服务器糟肉鸡行为的应对措施,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

解决该问题用了两篇博友文章

#########################################################、

注 :第一篇中mtyxkeaofa是病毒,你的服务器上可能是"yam" ,"xxxswrerw"等,灵活变通


1:


linux下如何删除十字符libudev.so病毒文件


    服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,非常痛苦。查阅crond相关日志,发现实际执行的内容为/lib/libudev.so ,以此为关键字进行查询,找到如下内容:

1.網路流量暴增,使用 top 觀察有至少一個 10 個隨機字母組成的程序執行,佔用大量 CPU 使用率。刪除這些程序,馬上又產生新的程序。

2.檢查 cat /etc/crontab 发现定时任务 每三分鐘執行gcc.sh

1
  */ 3  * * * * root /etc/cron.hourly/gcc.sh

3.查看病毒程式 gcc.sh,可以看到病毒本體是 /lib/libudev.so。

1
2
3
4
5
6
[root @deyu  ~]# cat /etc/cron.hourly/gcc.sh
#!/bin/sh
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
for  i in `cat /proc/net/dev|grep :|awk -F: { 'print $1' }`;  do  ifconfig $i up& done
cp /lib/libudev.so /lib/libudev.so. 6
/lib/libudev.so. 6

4.刪除上一行例行工作 gcc.sh,並設定 /etc/crontab 無法變動,否則馬上又會產生。

1
[root @deyu  ~]# rm -f /etc/cron.hourly/gcc.sh ; chattr +i /etc/crontab

5.使用 top 查看病毒為 mtyxkeaofa,id 為 16621,不要直接殺掉程序,否則會再產生,而是停止其運作。

1
[root @deyu  ~]# kill -STOP  16621

6.刪除 /etc/init.d 內的檔案。

1
[root @deyu  ~]# find /etc -name  '*mtyxkeaofa*'  | xargs rm -f

7.刪除 /usr/bin 內的檔案。

1
[root @deyu  ~]# rm -f /usr/bin/mtyxkeaofa

8.查看 /usr/bin 最近變動的檔案,如果是病毒也一併刪除,其他可疑的目錄也一樣。

1
[root @deyu  ~]# ls -lt /usr/bin | head

9.現在殺掉病毒程序,就不會再產生。

1
[root @deyu  ~]# pkill mtyxkeaofa

10.刪除病毒本體。

1
[root @deyu  ~]# rm -f /lib/libudev.so

使用此方法 可以完全清除此病毒。



#######################################################################
2.


服务器由于redis未授权漏洞被攻击


昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,

今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中:

START:该进程被触发启动的时间

TIME :该进程实际使用 CPU 运作的时间

COMMAND:该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令(top命令可以查看系统中占用最多资源的进程)

发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)

看到它的pid为473

先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了


服务器由于redis未授权漏洞被攻击


昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他,

今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。

不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权限。

 

先用#ps -ef 命令看看有没有什么可疑进程

其中:

START:该进程被触发启动的时间

TIME :该进程实际使用 CPU 运作的时间

COMMAND:该程序的实际指令

发现下面这条进程占用cpu时间十分可疑

然后查了一下后面的/opt/yam/yam······指令,发现这就是利用redis漏洞进行攻击的脚本

 

之后很长的一段时间一直在和redis漏洞的攻击脚本作斗争。。。。。一个是gg3lady文件,还有一个是yam文件

尝试了两个个小时也无法彻底关闭相关进程和删除这两个脚本。

 

于是换了一种角度思考,既然病毒程序总是自己启动,我为何不从自动启动的地方开始处理。

然后找到计划任务的文件/etc/crontab

发现里面果然多了一行计划任务*/3 * * * * root /etc/cron.hourly/gcc.sh

先删除这行计划任务。

再输入top命令(top命令可以查看系统中占用最多资源的进程)

发现一个名为wyvrzccbqr的程序占用最多。。。。。(之前靠#ps -ef 命令竟然更本看不到它)

看到它的pid为473

先暂停他(不要直接杀,否则会再生)# kill -STOP 473
刪除 /etc/init.d 內的档案# find /etc -name '*wyvrzccbqr*' | xargs rm -f
刪除 /usr/bin 內的档案# rm -f /usr/bin/wyvrzccbqr
查看 /usr/bin 最近变动的档案,如果是病毒也一并刪除,其他可疑的目录也一样# ls -lt /usr/bin | head

结果显示有个名为doeirddtah的文件也很可疑。于是一起删掉# rm -f /usr/bin/doeirddtah

現在杀掉病毒程序,就不會再产生。#pkill wyvrzccbqr
刪除病毒本体。# rm -f /lib/libudev.so

 

这样问题就解决了

这篇关于阿里云服务器糟肉鸡行为的应对措施的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1141724

相关文章

CentOS 7部署主域名服务器 DNS的方法

《CentOS7部署主域名服务器DNS的方法》文章详细介绍了在CentOS7上部署主域名服务器DNS的步骤,包括安装BIND服务、配置DNS服务、添加域名区域、创建区域文件、配置反向解析、检查配置... 目录1. 安装 BIND 服务和工具2.  配置 BIND 服务3 . 添加你的域名区域配置4.创建区域

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

kotlin中的行为组件及高级用法

《kotlin中的行为组件及高级用法》Jetpack中的四大行为组件:WorkManager、DataBinding、Coroutines和Lifecycle,分别解决了后台任务调度、数据驱动UI、异... 目录WorkManager工作原理最佳实践Data Binding工作原理进阶技巧Coroutine

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win

Ubuntu 22.04 服务器安装部署(nginx+postgresql)

《Ubuntu22.04服务器安装部署(nginx+postgresql)》Ubuntu22.04LTS是迄今为止最好的Ubuntu版本之一,很多linux的应用服务器都是选择的这个版本... 目录是什么让 Ubuntu 22.04 LTS 变得安全?更新了安全包linux 内核改进一、部署环境二、安装系统

nginx配置多域名共用服务器80端口

《nginx配置多域名共用服务器80端口》本文主要介绍了配置Nginx.conf文件,使得同一台服务器上的服务程序能够根据域名分发到相应的端口进行处理,从而实现用户通过abc.com或xyz.com直... 多个域名,比如两个域名,这两个域名其实共用一台服务器(意味着域名解析到同一个IP),一个域名为abc

pycharm远程连接服务器运行pytorch的过程详解

《pycharm远程连接服务器运行pytorch的过程详解》:本文主要介绍在Linux环境下使用Anaconda管理不同版本的Python环境,并通过PyCharm远程连接服务器来运行PyTorc... 目录linux部署pytorch背景介绍Anaconda安装Linux安装pytorch虚拟环境安装cu

MySQL 中的服务器配置和状态详解(MySQL Server Configuration and Status)

《MySQL中的服务器配置和状态详解(MySQLServerConfigurationandStatus)》MySQL服务器配置和状态设置包括服务器选项、系统变量和状态变量三个方面,可以通过... 目录mysql 之服务器配置和状态1 MySQL 架构和性能优化1.1 服务器配置和状态1.1.1 服务器选项

ElasticSearch+Kibana通过Docker部署到Linux服务器中操作方法

《ElasticSearch+Kibana通过Docker部署到Linux服务器中操作方法》本文介绍了Elasticsearch的基本概念,包括文档和字段、索引和映射,还详细描述了如何通过Docker... 目录1、ElasticSearch概念2、ElasticSearch、Kibana和IK分词器部署

部署Vue项目到服务器后404错误的原因及解决方案

《部署Vue项目到服务器后404错误的原因及解决方案》文章介绍了Vue项目部署步骤以及404错误的解决方案,部署步骤包括构建项目、上传文件、配置Web服务器、重启Nginx和访问域名,404错误通常是... 目录一、vue项目部署步骤二、404错误原因及解决方案错误场景原因分析解决方案一、Vue项目部署步骤