记一次云服务器被入侵
2017-07-14 17:42
387 查看
这次入侵发生在半年前,那时候还没建立CSDN,今天记录一下.
服务器:腾讯云学生机
Centos6.x
1核 1GB 1Mbps
Wordpress最近爆出漏洞,不少用户遭到攻击.
这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图
之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口
之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了,我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死,我执行cd / 后,看到根目录产生了几个异常文件,如下图
通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了
于是我在全盘搜索了一下
发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没用,因为ps top这些命令早就本替换掉
通过
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。
总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过
以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它
这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,
之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,
还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,
之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图
之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口,
之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了
我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死
我执行cd / 后,看到根目录产生了几个异常文件,如下图
通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为linux backdoor gates5
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。
于是我在全盘搜索了一下 find / -name conf.n
发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是linux backdoor gates5导致的
我的服务器已经变成黑客的肉鸡,被植入了DDOS程序。
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没事因为
ps top这些命令早就本替换掉
通过 ll /bin/ps
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。
总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过,
可能还会发生今天的事,通过这次事件,我也明白了服务器安全的重要性
以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它
服务器:腾讯云学生机
Centos6.x
1核 1GB 1Mbps
Wordpress最近爆出漏洞,不少用户遭到攻击.
这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图
之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口
之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了,我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死,我执行cd / 后,看到根目录产生了几个异常文件,如下图
通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为
linux backdoor gates5
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了
clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。
于是我在全盘搜索了一下
find / -name conf.n
发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是
linux backdoor gates5导致的,服务器已经变成黑客的肉鸡,被植入了DDOS程序。
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没用,因为ps top这些命令早就本替换掉
通过
ll /bin/ps
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。
总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过
以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它
原文
Wordpress最近爆出漏洞,不少用户遭到攻击这是发生在我主机上的情况,2月6日接收到一个邮件,问我是否通过在Wordpress上的一个评论,当时有点,
之前没有过评价,我就直接通过了,2月6日,我用ssh连接服务器,出现无法连接的情况,我于是重启服务器,
还是不行,之后强制重启,这次成功,不过在书命令的时候非常慢,输完之后还要等待一会。没发现异常,
之后又出现了ssh无法连接的情况,vnc此时也无法连接,我去看了下最近的CPU记录,如下图
之前是CPU占用100%,直接宕机,当时还是无法连接,我用另一台主机扫描这台服务器,发现了几个未知的端口,
之后再次重启,便可以的登录了,于是我设置了一下安全组,关掉了了这几个端口。
本以为问题就这么结束了
我再次ssh登录时,输入命令执行变得非常慢,有时候直接卡死
我执行cd / 后,看到根目录产生了几个异常文件,如下图
通过cmd.n文件 可以看到 此命令关掉了我的防火墙,
然后从一个服务器下载了expl文件并执行,后来证明为linux backdoor gates5
于是我直接将它们删除,当时还没意识到感染很严重。
后来我在/root目录里陆续发现了一些异常文件,我下载了clamav这款杀毒软件,全盘杀了一次毒,卡顿的问题解决。
于是我在全盘搜索了一下 find / -name conf.n
发现在好几个目录里都存在着个文件,还看到一个.getty的文件
我去网上搜索了一下这个文件,发现这就是linux backdoor gates5导致的
我的服务器已经变成黑客的肉鸡,被植入了DDOS程序。
还有那个conf.n文件是无法删除的,一删除立即会出现
我之前还用过top命令查看过谁占用的进程,
其实这根本没事因为
ps top这些命令早就本替换掉
通过 ll /bin/ps
查看大小,也证实了这一点
文件大于1M。
如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大,但我然担心还会出现问题,于是备份数据重装系统。
总结
最近Wordpress爆出越权漏洞,我又没有升级,从而导致了这次事件的发生,又想起了Wordpress上的评论,
可能那就是源头,也不一定是吧,如果那条评论我没通过,
可能还会发生今天的事,通过这次事件,我也明白了服务器安全的重要性
以下是几点防护措施
1,修改ssh的默认端口
2,禁止root账号登陆
3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root
4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉
5,mysql只允许自己登陆,禁掉其它
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 剖析:一次入侵Linux服务器的事件记录 20131222
- 一次通过Oracle8i入侵系统之旅(图)
- 记一次入侵XP系统的经历
- 实战:一次linux服务器的入侵分析报告
- 一次服务器被入侵的经历
- 入侵Tomcat服务器一次实战
- 十字符病毒,杀不死的小强,一次云服务器沦陷实录
- 一次利用imap漏洞的入侵
- 一次Linux服务器被入侵和删除木马程序的经历 推荐
- 一次完整的入侵检测
- 一次服务器遭受入侵的攻防
- 一次入侵过程
- 你BT我更BT!记一次入侵BT服务器
- Linux入侵取证:从一次应急事件讲起 20141111
- 一次消无声息的系统被入侵经历
- 一次简单的3389入侵过程
- 一次linux服务器的入侵分析报告
- 一次入侵+社工利用的过程
- 剖析:一次入侵Linux服务器的事件记录
- 记一次Linux服务器被入侵后的检测过程