zoukankan      html  css  js  c++  java
  • 阿里云服务器被侵入记录

    2014-1-11 14:58 收到信息,云服务器存在对外DDOS攻击.

    2014-1-11 15:30 首先查看服务器监控记录(后截屏)

    发现网络在14点和18点时,网络突然异常.应该是受到了劫持

    2014-1-11 15:50 使用服务器自带的Chkrootkit检测是否被暴力破解

    直接运行

    # chkrootkit
    

    没有发现异常

    2014-1-11 16:02 下载Rootkit Hunter进行检测

    # wget http://cznic.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz (下载)
    # tar zxvg rkhunter-1.4.2.tar.gz (解压)
    ...
    # rkhunter-1.4.2/installer.sh (安装)
    ...
    # rkhunter -c (安装完成之后,检测)
    

    发现一堆Warning,不知道什么意思

    Checking for prerequisites                                   [ Warning ]
        /sbin/ifdown                                             [ Warning ]
        /sbin/ifup                                               [ Warning ]
        /usr/bin/GET                                             [ Warning ]
        /usr/bin/ldd                                             [ Warning ]
        /usr/bin/whatis                                          [ Warning ]
    
    Performing system configuration file checks
        Checking if SSH root access is allowed                   [ Warning ]
    
     Performing filesystem checks
        Checking /dev for suspicious file types                  [ Warning ]
        Checking for hidden files and directories                [ Warning ]
    

    2015-01-11 17:01 尝试自行解决,使用setup重新设置防火墙,关闭tcp:8080端口,重启防火墙等操作

    2015-01-11 20:27 杀毒无果,为了防止服务器被锁,马上下阿里云工单,说明问题,请求技术支持

    2015-01-11 20:31 从阿里工程师那边得到被攻击的机器IP为 xxx.xxx.xxx.xxx

    2015-01-11 21:22 使用抓包命令查看本机攻击的程序

    tcpdump -i eth1 dst xxx.xxx.xxx.xxx
    

    监控15分钟,发现没有任何包被抓取,警报解除,阿里云回复 [查看该次恶意扫描的流程已经结束]

    事后补救

    开启下云盾的web攻击拦截高级设置,添加CNAME域名

  • 相关阅读:
    2013第2周四晴
    2012第53周&2013第1周日
    2013周六雪转阴
    2013年第二周日生活整理
    php技术–php中感叹号!和双感叹号!!的用法(三元运算)
    laravel拓展validator验证
    laravel 5 自定义全局函数,怎么弄呢?
    Laravel 清空配置缓存
    网上很多laravel中cookie的使用方法。
    艾伟也谈项目管理,给敏捷团队中的架构师的10个建议 狼人:
  • 原文地址:https://www.cnblogs.com/kreo/p/4217235.html
Copyright © 2011-2022 走看看