收到報警
2019年4月10号,正當大家熱情的讨論人類首次拍攝的關于黑洞的照片的時候,突然收到了來自阿裡雲的報警,說是我們的一台伺服器正在對外攻擊!
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicWZwpmL2cTY2kjY3ITZ4kjMmhTY2UGO4MTZmRTN5IDZ4QjY0YGZlRmZ1EGO38CXt92Yu4GZjlGbh5SZslmZxl3Lc9CX6MHc0RHaiojIsJye.jpeg)
趕緊登陸雲控制台,看看到底是怎麼回事。
十有八九是中招了。。。
登陸到伺服器上去看看吧。
先top一下
先top一下,看看什麼情況吧
看來就是
khugepageds
這個程序搞得鬼。
來看一下這個程序是個什麼東西。
/tmp下的一個檔案。
哦了,kill掉這個程序,删掉這個檔案,搞定。
再top一下
沒有問題,搞定收工!
真的搞定了嗎?
事情還是沒有想象中這麼簡單啊。
沒一會,這個鬼程序又出現了,真是冤魂不散。。。
這是為什麼呢?難道是crontab有定時任務?
沒有!
再仔細觀察一下這個程序,是confluence這個使用者的程序。
好吧,切換到這個使用者看一下。
果然有問題!!!
幹掉這個定時任務,kill程序,删除檔案,這活兒幹起來真是順手!
事情還沒有結束???
有了第一次的經驗,這次不能大意,再觀察一會兒。
特麼的,又出現了!!!
這是什麼鬼???
crontab的任務同樣也被添加上了。
看來還是沒有搞幹淨。
再top一下看看。
kerberods
這個程序引起了注意,這是個什麼鬼?而且是屬于confluence這個使用者的。
不應該啊?
ps一下,又是/tmp下的一個檔案。
打開看一下,是一個html檔案。
我很想展示給你們看一下,但是,我忘了截圖,也忘了儲存。。。
接下來又是輕車熟路,删檔案,殺程序。
這次觀察了好好好好好長時間,鬼程序終于沒有再出現。
後續動作
為了保險起見,把伺服器網絡端口什麼的先給關了吧。
iptables,farewall什麼的都過時了。在阿裡雲,你隻需要登入控制台,打開安全組,添加/修改規則就可以了!
所有ip的所有端口都關掉,隻允許自己的ip通路22.
就是這麼簡單!