收到报警
2019年4月10号,正当大家热情的讨论人类首次拍摄的关于黑洞的照片的时候,突然收到了来自阿里云的报警,说是我们的一台服务器正在对外攻击!
赶紧登陆云控制台,看看到底是怎么回事。
十有八九是中招了。。。
登陆到服务器上去看看吧。
先top一下
先top一下,看看什么情况吧
看来就是khugepageds这个进程搞得鬼。
来看一下这个进程是个什么东西。
/tmp下的一个文件。
哦了,kill掉这个进程,删掉这个文件,搞定。
再top一下
没有问题,搞定收工!
真的搞定了吗?
事情还是没有想象中这么简单啊。
没一会,这个鬼进程又出现了,真是冤魂不散。。。
这是为什么呢?难道是crontab有定时任务?
没有!
再仔细观察一下这个进程,是confluence这个用户的进程。
好吧,切换到这个用户看一下。
果然有问题!!!
干掉这个定时任务,kill进程,删除文件,这活儿干起来真是顺手!
事情还没有结束???
有了第一次的经验,这次不能大意,再观察一会儿。
特么的,又出现了!!!
这是什么鬼???
crontab的任务同样也被添加上了。
看来还是没有搞干净。
再top一下看看。
kerberods这个进程引起了注意,这是个什么鬼?而且是属于confluence这个用户的。
不应该啊?
ps一下,又是/tmp下的一个文件。
打开看一下,是一个html文件。
我很想展示给你们看一下,但是,我忘了截图,也忘了保存。。。
接下来又是轻车熟路,删文件,杀进程。
这次观察了好好好好好长时间,鬼进程终于没有再出现。
后续动作
为了保险起见,把服务器网络端口什么的先给关了吧。
iptables,farewall什么的都过时了。在阿里云,你只需要登录控制台,打开安全组,添加/修改规则就可以了!
所有ip的所有端口都关掉,只允许自己的ip访问22.
就是这么简单!