欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

记一次阿里云服务器被黑的经历,以及解决方案

程序员文章站 2024-02-22 11:58:34
...

阿里云服务器因为开docker端口被黑

记一次阿里云服务器被黑的经历,以及解决方案

如上图,被一个叫“sshd -D”的脚本命令CPU拉到100%,其伪装成sshd,其实是一个恶意程序。

通过top -H -p 【pid】 等命令,如下图

记一次阿里云服务器被黑的经历,以及解决方案

再用gdb -p【pid】跟进,发现是位于 /usr/bin/sshd -D

记一次阿里云服务器被黑的经历,以及解决方案

然后尝试删除,发现root也没有权限删掉。用 lsattr查看隐藏属性,发现加了 e 和i 不允许更改。

所以尝试用chattr给他把这个属性干掉,发现chattr这个命令也被修改了,不能正常使用。可以通过下面两张图对比发现,恶意程序的植入和这个命令的修改时间是一致的。

记一次阿里云服务器被黑的经历,以及解决方案

记一次阿里云服务器被黑的经历,以及解决方案

所以只好自己编译一个chattr命令来解决:

chattr源码:https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c

安装GCC:

yum install gcc
yum install gcc-c++

编译:

gcc chattr.c  -o chattr

这个就创建了一个新的chattr,

修改隐藏属性:z

./chattr -i "/usr/sbin/sshd -D"
./chattr -e "/usr/sbin/sshd -D"

删除恶意程序

rm -rf "/usr/sbin/sshd -D"

同时将被替换的chattr一同删除

./chattr -i -a -e /usr/bin/chattr
 rm -rf  /usr/bin/chattr

重新下载包含lsattr和chattr的工具包

yum install e2fsprogs

最后做一些清理工作

改sshd的端口并重启

vim /etc/ssh/sshd_config
service sshd restart

改sshd的端口并重启

vim /etc/ssh/sshd_config
service sshd restart