服务器被攻击的处理过程

突然手机报警就响了,显示负载高,立即登录服务器查看,第一眼的就识别到了,服务器被挖矿了。安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响接下来是我整个解决思路。

如图:发现通过jenkins用户启动挖矿程序

本次是由于jenkins漏洞导致,这个漏洞是Jenkins cli带来的远程执行漏洞,会被利用自动执行一个挖矿程序,导致你的服务器占用cpu率高

通过netstat -anp找到挖矿程序连接的地址

1.1 过滤执行的脚本

通过服务器被挖矿,你kill上面的进程是不管用的,因为它这里有一个后台执行的脚本,脚本里面写的是一个死循环,你kill掉那个进程,休息五秒自己就起来了。之前我看过挖矿的脚本进行分析的。

这里附上挖矿的脚本,大家可以自己分析下。

1.2 检查定时任务

切记,这里只是查看的当前的定时任务,还要检查cat /etc/crontab配置文件,很多时候,它是添加到了配置文件

1.3检查rc.local

1.4检查history操作历史

1.5检查登录日志及系统日志

1.6 处理服务器被黑的几种思路

1.7 对系统进行安全防护

修改默认账号密码及端口如(sshd)

1.8 挖矿病毒的原理分析

作者:啊凯linux 链接:http://blog.51cto.com/kaile/2065900

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180130B0G1N300?refer=cp_1026

扫码关注云+社区