记一次阿里云服务器被用作DDOS攻击肉鸡

2023-10-09 11:20

本文主要是介绍记一次阿里云服务器被用作DDOS攻击肉鸡,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

事件描述:阿里云报警 ——检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击

 

源IP: xx.xx.xx.xx 源PORT: 111 目的PORT: 963 

攻击类型: SunRPC反射攻击 

扫描IP频数: 3 

扫描TCP包频数: 11480 

持续时间(分钟): 55 

事件说明: 检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击。

解决方案: 自查ECS中19、53、123、161、1900 UDP端口是否处于监听状态,若开启就关闭

 

自查步骤:

netstat -anp|grep :19    无

netstat -anp|grep :53    无

netstat -anp|grep :123    无

netstat -anp|grep :161    无

netstat -anp|grep :1900    无

 

再查看111端口

netstat -anp|grep :111tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1953/portmap        tcp        0      0 112.124.53.48:111           60.191.29.20:44964          ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           139.196.13.106:30808        ESTABLISHED 1953/portmap                tcp        0      0 112.124.53.48:111           123.59.52.206:54912         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:38893         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           120.26.55.211:36599         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:39363         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:46023         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:57406         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:41479         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:39008         ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           122.224.153.109:51125       ESTABLISHED 1953/portmap        tcp        0      0 112.124.53.48:111           123.59.52.206:44366         ESTABLISHED 1953/portmap        udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1953/portmap 

 

  

[root@AY1310231051059094d8Z server]# kill -9 1953 

[root@*****server]# netstat -anp|grep :111   

 

以上只是临时解决办法,实际生产还需要通过指定防火墙规则来过滤才行,毕竟直接停服务就太暴力了,有时候可能会影响服务器正常业务。

 

如果业务需要启动该UDP服务,可以启动并指定防火墙规则来过滤,添加禁止所有规则,添加允许信任源IP

iptables -I INPUT -p udp -m multiport --dport 19,161,111,123,1900 -j DROP
iptables -I INPUT -p udp -m multiport --sport 19,161,111,123,1900 -j DROP
iptables -I OUTPUT -p udp -m multiport --dport 19,161,111,123,1900 -j DROP
iptables -I OUTPUT -p udp -m multiport --sport 19,161,111,123,1900 -j DROP

注:之所以没有禁止53端口,是因为我用的阿里云服务器,其中安骑士和云监控需要53端口才能连接检测,否则会失败。

 

附:linux系统常见木马清理命令

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

chattr -i /usr/bin/.swhd

rm -f /usr/bin/.swhd

rm -f -r /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

 

chattr -i /usr/bin/.sshd && rm -f /usr/bin/.sshd && chattr -i /usr/bin/.swhd && rm -f /usr/bin/.swhd && rm -f -r /usr/bin/bsd-port && cp /usr/bin/dpkgd/ps /bin/ps && cp /usr/bin/dpkgd/netstat /bin/netstat && cp /usr/bin/dpkgd/lsof /usr/sbin/lsof && cp /usr/bin/dpkgd/ss /usr/sbin/ss && rm -r -f /root/.ssh && rm -r -f /usr/bin/bsd-port && find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

 

转载于:https://www.cnblogs.com/dannylinux/p/9138455.html

这篇关于记一次阿里云服务器被用作DDOS攻击肉鸡的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/172494

相关文章

springboot上传zip包并解压至服务器nginx目录方式

《springboot上传zip包并解压至服务器nginx目录方式》:本文主要介绍springboot上传zip包并解压至服务器nginx目录方式,具有很好的参考价值,希望对大家有所帮助,如有错误... 目录springboot上传zip包并解压至服务器nginx目录1.首先需要引入zip相关jar包2.然

将Java项目提交到云服务器的流程步骤

《将Java项目提交到云服务器的流程步骤》所谓将项目提交到云服务器即将你的项目打成一个jar包然后提交到云服务器即可,因此我们需要准备服务器环境为:Linux+JDK+MariDB(MySQL)+Gi... 目录1. 安装 jdk1.1 查看 jdk 版本1.2 下载 jdk2. 安装 mariadb(my

springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法

《springboot整合阿里云百炼DeepSeek实现sse流式打印的操作方法》:本文主要介绍springboot整合阿里云百炼DeepSeek实现sse流式打印,本文给大家介绍的非常详细,对大... 目录1.开通阿里云百炼,获取到key2.新建SpringBoot项目3.工具类4.启动类5.测试类6.测

基于Python打造一个可视化FTP服务器

《基于Python打造一个可视化FTP服务器》在日常办公和团队协作中,文件共享是一个不可或缺的需求,所以本文将使用Python+Tkinter+pyftpdlib开发一款可视化FTP服务器,有需要的小... 目录1. 概述2. 功能介绍3. 如何使用4. 代码解析5. 运行效果6.相关源码7. 总结与展望1

使用Python开发一个简单的本地图片服务器

《使用Python开发一个简单的本地图片服务器》本文介绍了如何结合wxPython构建的图形用户界面GUI和Python内建的Web服务器功能,在本地网络中搭建一个私人的,即开即用的网页相册,文中的示... 目录项目目标核心技术栈代码深度解析完整代码工作流程主要功能与优势潜在改进与思考运行结果总结你是否曾经

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

CentOS 7部署主域名服务器 DNS的方法

《CentOS7部署主域名服务器DNS的方法》文章详细介绍了在CentOS7上部署主域名服务器DNS的步骤,包括安装BIND服务、配置DNS服务、添加域名区域、创建区域文件、配置反向解析、检查配置... 目录1. 安装 BIND 服务和工具2.  配置 BIND 服务3 . 添加你的域名区域配置4.创建区域

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win