事情描述:
本人在阿里云上創(chuàng)建了一個(gè)linux服務(wù)器,跑了一個(gè)自己的測(cè)試web項(xiàng)目。搭建了redis。想方便測(cè)試用,就沒有對(duì)redis進(jìn)行任何安全防護(hù)并暴露在了公網(wǎng)上。期間阿里云發(fā)現(xiàn)了此問題,還發(fā)短信提醒我,由于最近在公司一直加班也沒有時(shí)間理會(huì),沒想到就在今天真的被黑了,事后心想多虧是個(gè)測(cè)試服務(wù)器,如果是正式環(huán)境,也真危險(xiǎn),這個(gè)黑客也沒有停下腳步,通過redis強(qiáng)大的能力在/root/.ssh目錄下面上傳了公鑰,徹底攻破了服務(wù)器,免密碼登錄服務(wù)器,一般黑客到這步也就看看有沒有興趣的數(shù)據(jù),這個(gè)黑客一看這就是個(gè)沒有價(jià)值的測(cè)試服務(wù)器,所以心一橫,在我這上面裝了個(gè)DDOS攻擊軟件,把我的機(jī)器當(dāng)起肉雞。
1.這就是黑完后留下的公鑰/私鑰,刪除authorized_keys,id_rsa, id_rsa.pub這三個(gè)文件吧,除非還想讓他繼續(xù)黑下去。。。。
2.通過redis的key *命令可以看到有個(gè)叫crackit的key。這就是黑客在入侵后留下來的,原先set的值是公鑰,入侵成功之后就改成這個(gè)了,把這個(gè)key也刪除掉吧。
3.修改redis默認(rèn)端口吧,不讓黑客利用6379端口。在redis安裝目錄中,修改redis.config文件。修改完了別忘了重啟redis服務(wù),
# redis-server /etc/redis/redis.conf 開啟
# redis-cli shutdown 關(guān)閉
4.重啟后查看redis是否運(yùn)行
ps -x | grep redis
5.通過指定端口訪問redis。
redis-cli -p 6666
6.給redis設(shè)置密碼或者干脆設(shè)置成只能內(nèi)網(wǎng)訪問
7.通過top命令發(fā)現(xiàn)了幾個(gè)可疑的程序
8.minerd這個(gè)程序是個(gè)用來挖掘萊特幣的,這個(gè)黑客看來干了不少壞事啊。。我們用命令 ps -ef|grep minerd 查找一下這個(gè)進(jìn)程,殺掉這個(gè)進(jìn)程kill -9 18267,并且去/tmp目錄刪除minerd目錄
9.黑客在tmp目錄留下了一個(gè)叫1.sh的腳本,是用來下載挖掘萊特幣程序的。也把它kill掉吧。以下是腳本內(nèi)容。
10.通過cat /etc/passwd命令可以看到有一個(gè)叫作syss的非法用戶,權(quán)限還很高,跟root一樣,刪掉他吧,這是黑客入侵后方便進(jìn)入的。使用命令userdel -f syss 強(qiáng)制刪除一個(gè)用戶,哪怕他正在登錄。
11.去/mnt目錄上,可以看到黑客掛載了很多程序,刪除他們吧。
12.通過nethogs軟件可以按進(jìn)程實(shí)時(shí)統(tǒng)計(jì)網(wǎng)絡(luò)帶寬利用率,這個(gè)用來看是否存在DDOS攻擊最好不過了。
13.暫時(shí)解決對(duì)外DDOS攻擊,最快的辦法就是用防火墻,這個(gè)阿里云提供的腳本幫了大忙。直接上傳到服務(wù)器上,運(yùn)行一下世界就清靜了。下載地址: