今天登陆服务器,发现 CPU 一直 100%,发现 /var/tmp/bbb/bbb 占用了 99+的 CPU 。
kill 后,等 20 秒又启动了。
有三个任务在相互关联启动。
文件被保护,删不掉,用 chattr -ia 去掉保护,依然无法删除,有点棘手哦 直接删除 job 内容
文件同样被保护
又一个智障操作
端口改掉后,防火墙没改,连上了,艹。
又用阿里云的救援连接,开了防火墙
最后发现阿里云的网站提供的远程连接只支持 22 端口。改了端口无法用他们的网站连接服务器了,这。。。不是让人攻击吗?
 |
1
opengps May 24, 2020
这情况其实挺常见的,至于渗透入口,分析不彻底没法下结论,毕竟进入一个房间并不一定只有门可以走,可能是窗户,可能是管道
你从阿里云网站后台使用 VNC 登录,效果等同于物理机连接显示器不需要使用 22 端口的,而不是使用哪个远程工具去远程连接,那样必然会经过防火墙被你的修改给拦住 |
 |
2
cy476571989 May 24, 2020
阿里云有对服务器的监控服务,可以设定报警规则:一旦 cpu 一段时间跑满 一定比例,比如:50% 就触发报警,它会提供短信通知,可以尝试一下。
|
 |
3
DonaidTrump May 24, 2020
好奇这是怎么攻进去的呢
|
 |
4
Oceanhime May 24, 2020
感觉问题不一定出在 SSH, 还有可能是业务相关漏洞。
不过利用漏洞的话, 没有运行 worldpress 之类的常见程序的话应该是针对性的攻击了 |
 |
5
nosmile May 24, 2020
你找找有没有什么服务是弱口令或者默认配置,再看看你 ssh 是不是弱口令,最后用啊 D 查一下有没有 webshell 、查一下 web 日志等
|
 |
6
lianglianglee OP @tulongtou 大概看了一下,说是 redis 的漏洞导致的,我前段时间使用了 redis on docker 也许是那个时候进去的
|
|
7
lianglianglee OP @opengps 现在把端口能关的都关了,前段时间做测试,开了非常多的端口
|
|
8
lianglianglee OP @Oceanhime 可能是 docker ?我最近因为在搞 docker,开了 docker 的 tcp
|
 |
9
renmu123 May 24, 2020 via Android
MongoDB 和 Redis 开启公网访问默认都没有密码,其实建议还是直接重装系统,你知道在系统哪里还藏着奇怪的代码
|
|
10
lianglianglee OP 现在可疑的比较多,redis,docker socket,ssh 都有可能,现在把这些能关的都关了,不能关的改了端口,观察一段时间看看
|
|
11
lianglianglee OP @cy476571989 我这个是做各种玩具项目胡搞用的,没必要开告警
|
|
12
lianglianglee OP @renmu123 这些都有可能,已经关闭了,再观察两天
|
 |
13
hzqim May 24, 2020
安装 fail2ban,禁止 root 登陆。
|
 |
14
realpg PRO 我猜你是 CENTOS
|
|
15
lianglianglee OP @realpg 啧啧啧,大部分都是 centos 吧
|
|
16
lianglianglee OP @hzqim 让我搜搜是个啥
|
|
17
Oceanhime May 24, 2020
@lianglianglee #10 做测试也不一定非要对外网暴露端口, 用代理连进内网就行。
|
 |
18
Jirajine May 24, 2020 via Android
redis 默认无密码加上 docker 端口映射暴露出导致被黑的光在本站就看到好多次了。
|
 |
19
chipuheado Jun 13, 2020
一开始架设的时候就要做好防护。
装 DenyHosts,Fail2Ban 禁用 root 登录 设置无密码登录 修改 ssh 端口(阿里云不让改就搬家吧……) |
Select Language