记一次云服务器被入侵
這次入侵發生在半年前,那時候還沒建立CSDN,今天記錄一下.
服務器:騰訊云學生機
Centos6.x
1核 1GB 1Mbps
Wordpress最近爆出漏洞,不少用戶遭到攻擊.
這是發生在我主機上的情況,2月6日接收到一個郵件,問我是否通過在Wordpress上的一個評論,當時有點,之前沒有過評價,我就直接通過了,2月6日,我用ssh連接服務器,出現無法連接的情況,我于是重啟服務器,還是不行,之后強制重啟,這次成功,不過在書命令的時候非常慢,輸完之后還要等待一會。沒發現異常,之后又出現了ssh無法連接的情況,vnc此時也無法連接,我去看了下最近的CPU記錄,如下圖
之前是CPU占用100%,直接宕機,當時還是無法連接,我用另一臺主機掃描這臺服務器,發現了幾個未知的端口
之后再次重啟,便可以的登錄了,于是我設置了一下安全組,關掉了了這幾個端口。
本以為問題就這么結束了,我再次ssh登錄時,輸入命令執行變得非常慢,有時候直接卡死,我執行cd / 后,看到根目錄產生了幾個異常文件,如下圖
通過cmd.n文件 可以看到 此命令關掉了我的防火墻,
然后從一個服務器下載了expl文件并執行,后來證明為linux backdoor gates5
于是我直接將它們刪除,當時還沒意識到感染很嚴重。
后來我在/root目錄里陸續發現了一些異常文件,我下載了clamav這款殺毒軟件,全盤殺了一次毒,卡頓的問題解決。
于是我在全盤搜索了一下
發現在好幾個目錄里都存在著個文件,還看到一個.getty的文件
我去網上搜索了一下這個文件,發現這就是linux backdoor gates5導致的,服務器已經變成黑客的肉雞,被植入了DDOS程序。
還有那個conf.n文件是無法刪除的,一刪除立即會出現
我之前還用過top命令查看過誰占用的進程,
其實這根本沒用,因為ps top這些命令早就本替換掉
通過
ll /bin/ps
查看大小,也證實了這一點
文件大于1M。
如果進行徹底的清理 將會非常麻煩 我在殺過毒后問題已經不大,但我然擔心還會出現問題,于是備份數據重裝系統。
總結
最近Wordpress爆出越權漏洞,我又沒有升級,從而導致了這次事件的發生,又想起了Wordpress上的評論,
可能那就是源頭,也不一定是吧,如果那條評論我沒通過
以下是幾點防護措施
1,修改ssh的默認端口
2,禁止root賬號登陸
3,新建一個賬號(不要用admin之類容易猜到的賬號,并設置一個復雜的密碼)并讓其可以sudo su成root
4,用DenyHosts防止暴力破解將對方嘗試破解的ip拒絕掉
5,mysql只允許自己登陸,禁掉其它
原文
Wordpress最近爆出漏洞,不少用戶遭到攻擊
這是發生在我主機上的情況,2月6日接收到一個郵件,問我是否通過在Wordpress上的一個評論,當時有點,
之前沒有過評價,我就直接通過了,2月6日,我用ssh連接服務器,出現無法連接的情況,我于是重啟服務器,
還是不行,之后強制重啟,這次成功,不過在書命令的時候非常慢,輸完之后還要等待一會。沒發現異常,
之后又出現了ssh無法連接的情況,vnc此時也無法連接,我去看了下最近的CPU記錄,如下圖
之前是CPU占用100%,直接宕機,當時還是無法連接,我用另一臺主機掃描這臺服務器,發現了幾個未知的端口,
之后再次重啟,便可以的登錄了,于是我設置了一下安全組,關掉了了這幾個端口。
本以為問題就這么結束了
我再次ssh登錄時,輸入命令執行變得非常慢,有時候直接卡死
我執行cd / 后,看到根目錄產生了幾個異常文件,如下圖
通過cmd.n文件 可以看到 此命令關掉了我的防火墻,
然后從一個服務器下載了expl文件并執行,后來證明為linux backdoor gates5
于是我直接將它們刪除,當時還沒意識到感染很嚴重。
后來我在/root目錄里陸續發現了一些異常文件,我下載了clamav這款殺毒軟件,全盤殺了一次毒,卡頓的問題解決。
于是我在全盤搜索了一下 find / -name conf.n
發現在好幾個目錄里都存在著個文件,還看到一個.getty的文件
我去網上搜索了一下這個文件,發現這就是linux backdoor gates5導致的
我的服務器已經變成黑客的肉雞,被植入了DDOS程序。
還有那個conf.n文件是無法刪除的,一刪除立即會出現
我之前還用過top命令查看過誰占用的進程,
其實這根本沒事因為
ps top這些命令早就本替換掉
通過 ll /bin/ps
查看大小,也證實了這一點
文件大于1M。
如果進行徹底的清理 將會非常麻煩 我在殺過毒后問題已經不大,但我然擔心還會出現問題,于是備份數據重裝系統。
總結
最近Wordpress爆出越權漏洞,我又沒有升級,從而導致了這次事件的發生,又想起了Wordpress上的評論,
可能那就是源頭,也不一定是吧,如果那條評論我沒通過,
可能還會發生今天的事,通過這次事件,我也明白了服務器安全的重要性
以下是幾點防護措施
1,修改ssh的默認端口
2,禁止root賬號登陸
3,新建一個賬號(不要用admin之類容易猜到的賬號,并設置一個復雜的密碼)并讓其可以sudo su成root
4,用DenyHosts防止暴力破解將對方嘗試破解的ip拒絕掉
5,mysql只允許自己登陸,禁掉其它
總結
以上是生活随笔為你收集整理的记一次云服务器被入侵的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python-图像的手绘效果
- 下一篇: Python-读写文件