📝个人主页:五敷有你
🔥系列专栏:Linux
⛺️稳中求进,晒太阳
攻击发现:
这个异常情况是在腾讯云被入侵后,短信提醒发现的。并没有系统的学习过关于服务器安防相关的知识,遇到服务器被黑的情况往往比较迷茫,不知道从何下手。于是我照着网上的前人的资料进行一次被攻击的处理。
处理流程
这几天开学没咋注意短信,周一才发现腾讯云服务器被入侵,我就开始登录处理,结果发现无法登录。无响应,无法连接主机。
我就登录腾讯云网页开始查看主机情况,发现主机是开着的,但就是ssh登录不进去,怀疑密码被改了,我就开始通过腾讯云修改密码,修改后可以登录。
登录成功后发现主机的CPU占用以及到达100%,根据top命令查看了一下CPU占用高的端口,然后使用kill -9 端口号进行杀死进程。
但这个进程杀死后立刻又有别的进行开始占用CPU 100%,我真服了。
之后删除了这个提示的恶意文件,但还是无法解决
之后就想要重装系统。(以为到此就结束了)
重装完系统,因为学习的需要需要下载apache mysql 和 redis ,就在这个时候我突然意识到会不会是redis 的问题,因为最近才学到redis,在云服务器被入侵的前几天才安装的redis。但没有多想。
处理完后第二天,腾讯云又开始发短信提示服务器疑似被黑客入侵。这次提示疑似被植入挖矿木马,需要尽快处理。之后我立即处理问题。
通过腾讯云的短信提示,发现系统策略篡改计划任务,进程路径 /usr/local/bin/redis-sever ,高危预警。所以应该是redis的裸奔问题。因为方便本地使用连接测试,就关闭了防火墙,开发了6379端口与所有ip都可以访问。
除了这些告警,还有其他行为,Shell反向连接、请求了恶意域名、篡改用户配置。。。
解决方法
在全网搜索解决方法找到了一个类似的问题博文:
记一次Redis被入侵(被黑)处理过程_redis 被黑-CSDN博客
服务器被黑,帮凶竟然是Redis_云服务器被黑 一直练远程redis-CSDN博客
因为Redis这个漏洞,我可怜的服务器被挖矿病毒偷袭了 - 知乎 (zhihu.com)
