外贸工厂 网站建设,夏邑好心情网站建设有限公司,wordpress 显示指定分类文章,成华区响应式网站建设突然收到阿里云发过来的异常登陆的信息#xff1a; 于是#xff0c;急忙打开电脑查看对应的ECS服务器的记录#xff1a; 发现服务器的cpu占用率异常飙升#xff0c;所以可以大概断定服务器已经被非法入侵了。
通过自己的账号登陆后#xff0c;发现sshd服务有异常的链接存…突然收到阿里云发过来的异常登陆的信息 于是急忙打开电脑查看对应的ECS服务器的记录 发现服务器的cpu占用率异常飙升所以可以大概断定服务器已经被非法入侵了。
通过自己的账号登陆后发现sshd服务有异常的链接存在。 变更端口重启sshd服务也会重新被链接上来
通过IP地址反查发现异常的链接来自于一个北京的地址。 通过top查看异常的进程发现perl进程存在异常但通过kill和killall命令均无法杀死此进程。 反查连接上来的IP地址发现IP地址为德国的一家服务商。 通过lsof并结合进程的id和端口号查询发现被异常登陆的来源来自于sshd服务器的认证。 删除sshd的authen文件发现删除不了有的命令存在丢失的情况。 从其他服务器copy过来对应的chattr修改对应的服务器文件信息后将对应的登陆密钥删除并修改sshd服务端口。 结合阿里云ECS的安全组配置禁用相关的登陆端口。 同时修改sshd配置文件禁用root及密钥登陆重新修改对应的服务器密码以确保后续的服务器安全。
结束对应的进程后持续观察CPU的利用率未发现异常。 注
对于服务器的镜像版本较旧、漏洞较多的问题建议能更新镜像的就先更新镜像不能更新的就好好地利用下安全组规则和漏洞的提示工具修补对应的漏洞防止后续类似事件的发生。
