目录
2.9.3 运行以下命令重启sshd服务。重启sshd服务后您可以通过1022端口SSH登录到Linux实例。
1. 前言
您的云服务器(xxx.xxx.x.xx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22)的访问,阻断预计将在2024-10-02 05:39:24时间内结束,请及时进行安全自查
2. 解决步骤
- 修改登录密码
- 按照云服务器提示的步骤隔离挖矿文件。
攻击主要是来自22端口的非法访问,下面是实操步骤:
2.1控制台查看cpu占用,并在终端查看具体程序
发现cpu占用不高,挖矿程序还未执行。
2.2 查看对外22端口进行访问的进程
netstat -anp |grep :22
这里有一大堆对外访问的但是总的进程就两个,一个是httpd,一个是blitz64
2.3 查看病毒文件位置并删除病毒文件
//查看病毒文件位置,上图的2812839/blitz64
cat /proc/6850/cmdline
删除病毒文件
2.4 杀掉进程
kill -9 6580上面2.2 步骤中还有一个10199病毒进程也是同理,重复操作以上2.2~2.4步骤
2.5 清理tcp链接
//安装tcpkill工具(centos下的linux命令)
sudo yum install dsniff
//清理tcp链接
tcpkill -i eth0 -9 port 222.6 定时任务排查
2.6.1 查看定时任务是否开启
systemctl list-unit-files|grep enabled
2.6.2 清理定时任务
//查看定时任务
crontab -l//编辑定时任务
crontab -e2.6.3 检查定时任务配置文件
vim /etc/crontab
这里有多条黄色字,就是被添加的自动执行程序
定时执行curl下载木马、启动的指令
删除这些指令,保存配置
而后,重新杀死木马进程,删除木马程序
service crond restart 重新启动定时服务
这次挖矿代码没有自动复活了
保险起见,再次修改了服务器密码
重启服务器,观察了是否有奇怪的进程
2.7 删除authorized_keys,这个服务器是没有配置过免密登录的,多出来的应该是病毒脚本配置的
~:这是一个特殊的符号,代表当前用户的主目录。在Unix和Linux系统中,~通常链接到/home/username,其中username是当前登录的用户账户名。/.ssh:是一个隐藏目录(以点.开头的目录或文件在Unix和Linux中默认是隐藏的),通常存在于用户的主目录下。这个目录用于存储 SSH 密钥和配置文件。
2.8 提醒
一定要改root密码,或者服务器设置只允许密钥登录,设置开放端口安全组规则,最好把远程连接默认的22端口改了
2.9更改远程连接(ssh)默认端口
2.9.1 运行以下命令备份sshd服务配置文件。
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak2.9.2修改sshd服务的端口号
运行以下命令编辑sshd_config配置文件。
sudo vim /etc/ssh/sshd_config在键盘上按i键,进入编辑状态。
添加新的远程服务端口。
本节以1022端口为例。在Port 22下输入Port 1022。
在键盘上按Esc键,输入:wq后保存并退出编辑状态。
2.9.3 运行以下命令重启sshd服务。重启sshd服务后您可以通过1022端口SSH登录到Linux实例。
sudo systemctl restart sshd2.9.4 把1022端口加入安全组规则
参考阿里云安全中心:
挖矿程序处理最佳实践_云安全中心(Security Center)-阿里云帮助中心 (aliyun.com)
记一次阿里云ECS被挂挖矿代码的处理历程_xllxr-优快云博客
扫一扫
1606
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
