从昨天开始,陆续收到了阿里云的报警邮件和短信,说是访问恶意下载源和linux计划任务执行异常指令。由于服务器上并没什么很重要的东西,还有一些其他原因,一直拖到了今天才处理。中午发现ssh都连不上了,这才意识到问题的严重。在这里记录一下这次问题解决的流程还有需要注意的问题。
因为ssh连接不上服务器,我只好在阿里云控制台重启了服务器。重启完成后勉强能进入服务器了,进去之后发现很卡,第一反应是看看进程。使用ps -ef 命令查看后发现很多奇怪的下载进程。对比着阿里云控制台的报警信息,如下所示
rouji1.png
上图显示的url链接为http://pm.cpuminerpool.com/pm.sh。对比着服务器的进程发现,这个链接就是服务器那些下载进程的链接。我首先想到的是直接kill掉这些进程,我尝试了这个命令ps -ef|grep cpuminerpool|grep -v grep|cut -c 9-15|xargs kill -9,来批量kill这些下载进程。
执行完进程我以为万事大吉了,结果发现完全没作用,查看进程还是有很多下载进程。我回忆起报警信息,有提到linux计划任务的异常。就是它了。
先使用tail -f /var/*log*/cron查看一下计划任务的信息,发现的确有几个任务在执行,正是那些curl xxx.sh的信息。然后使用crontab -l编辑定时任务,将下载脚本的定时任务全部删除,保存。再查看进程就发现进程数已经恢复正常了。
解决过程中看到有人说这种情况是redis没有加auth导致的,我想起了自己上周在搞redis集群,一阵不祥的预感。。。打开阿里云控制台的仪表盘,查看最近七天的进程数情况。如下所示
rouji2.png
进程数飙升的时间正好是redis搭建完成的第二天。。。既然如此那就先关端口吧,进入实例安全组配置,将redis集群的端口暂时全部停掉。暂时安全了,暂时。
具体黑客是如何运用redis漏洞进行攻击的,可以查看文末的参考文章,看来有很多组织在用蜜罐专门捕获这些盗用别人机器挖矿的黑客。
经过这次事件自己才深刻发现,暴露在外网的服务器一定要注意安全,端口开放一定要慎重,最好加白名单。虽然我的机器只是一只1核2G内存2Mbps的小鸡仔,但是网络对面的人是不会同情的。。所以还是要进行好自我保护哦。
参考文章
网友评论