记一次阿里云服务器被黑的经历,以及解决方案
程序员文章站
2024-02-22 11:58:34
...
阿里云服务器因为开docker端口被黑
如上图,被一个叫“sshd -D”的脚本命令CPU拉到100%,其伪装成sshd,其实是一个恶意程序。
通过top -H -p 【pid】 等命令,如下图
再用gdb -p【pid】跟进,发现是位于 /usr/bin/sshd -D
然后尝试删除,发现root也没有权限删掉。用 lsattr
查看隐藏属性,发现加了 e 和i 不允许更改。
所以尝试用chattr
给他把这个属性干掉,发现chattr
这个命令也被修改了,不能正常使用。可以通过下面两张图对比发现,恶意程序的植入和这个命令的修改时间是一致的。
所以只好自己编译一个chattr
命令来解决:
chattr源码:https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c
安装GCC:
yum install gcc
yum install gcc-c++
编译:
gcc chattr.c -o chattr
这个就创建了一个新的chattr
,
修改隐藏属性:z
./chattr -i "/usr/sbin/sshd -D"
./chattr -e "/usr/sbin/sshd -D"
删除恶意程序
rm -rf "/usr/sbin/sshd -D"
同时将被替换的chattr
一同删除
./chattr -i -a -e /usr/bin/chattr
rm -rf /usr/bin/chattr
重新下载包含lsattr和chattr
的工具包
yum install e2fsprogs
最后做一些清理工作
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart
改sshd的端口并重启
vim /etc/ssh/sshd_config
service sshd restart