记录一次黑客入侵以及解决经历

最新推荐文章于 2024-06-21 15:30:00 发布
置顶 最新推荐文章于 2024-06-21 15:30:00 发布
阅读量791 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Linux/Shell 集锦
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/knight_zhou/article/details/115204376
本文记录了一次黑客入侵事件的全过程,从朋友的阿里云服务器收到入侵警告开始,通过分析系统进程、检查防火墙规则,发现木马可能通过Java漏洞进入。在找到异常进程并尝试删除后,通过了解隐藏进程原理,最终成功定位并解决了问题。

背景

收到朋友通知,朋友服务器好几台阿里云服务器云盾提示如下,需要进行处理。

分析

因为服务器之前是我维护的,服务器的crond已经卸载,curl、wget、python都重命名了,防火墙的规则如下:

# Generated by iptables-save v1.4.7 on Thu Aug 30 19:12:55 2018
*filter
:INPUT ACCEPT [251:21331]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [258:22554]

-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT

##禁掉攻击扫描ip
-A INPUT -s 10.174.134.244/32 -j DROP

#自定义开放端口规则
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
#-A INPUT -p tcp -m tcp --dport 8161 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 65422 -j ACCEPT 

#固定末尾规则(禁止修改)
-A INPUT -m state --st
了解本专栏 订阅专栏 解锁全文 超级会员免费看
记录一次服务器因打开Docker允许远程登陆而不添加任何防护而被挖矿的经历
kitia01的博客
12-06 1253
可疑编码命令 可疑发生时间:2024-12-06 23:04:56告警描述:检测模型发现您的服务器上执行的进程命令行高度可疑,很有可能与木马、病毒、黑客行为有关。异常事件详情数据来源: 进程启动触发检测告警原因:该命令行存在高度可疑的编码特征。用户名:root命令行:chroot /mnt/ /bin/sh -c if!fi;进程路径:/bin/busybox进程ID:24609父进程文件路径:/usr/bin/runc父进程ID:24608进程链:fi;
# diskgenius 记录一次 RAID1 硬盘盒数据恢复的经历
热门推荐
童凌的技术博客
05-15 1万+
摘要 本篇文章记录一次由于数据库被盗而引起的恢复硬盘数据的经历。我的体会:(1) 在服务器上设置数据库时切记谨慎!密码强度要足够,SSH连接切记要建立好,公开域名时,注意是否有其他不必要的文件暴露在公网下。(2) 用移动硬盘保存数据并不可靠,需要使用RAID、或者多重备份的方法保存数据。 起因 事情的起因是一个小型数据库被黑客入侵。 这个小型数据库主要是给我写的微信小程序使用的。主要保存中文和英...
一次linux(被)入侵
LuckyTHP
06-08 2344
    0x00 背景 周一早上刚到办公室,就听到同事说有一台服务器登陆不上了,我也没放在心上,继续边吃早点,边看币价是不是又跌了。不一会运维的同事也到了,气喘吁吁的说:我们有台服务器被阿里云冻结了,理由:对外恶意发包。我放下酸菜馅的包子,ssh连了一下,被拒绝了,问了下默认的22端口被封了。让运维的同事把端口改了一下,立马连上去,顺便看了一下登录名:root,还有不足8位的小白密码,心...
线上项目黑客入侵记录
weixin_34372728的博客
03-24 191
[2018-3更新] 黑客攻击时间 黑客最爱发起攻击时间是节假日和周末等开发人员放假休息的时候,这时候对黑客攻击的防范和处理都比较不及时。黑客最常见攻击入口是网站注入攻击,攻击目的是非法读取、篡改、添加、删除数据库中的数据;比如篡改金钱相关的各种数值、下载用户信息、销毁数据等! 程序漏洞根源 WEB注入攻击产生的原因是对用户输入没有做注入过滤处理、不合理的数据库操作处理如没有使用参数化命令...
一次入侵处理
weixin_33841503的博客
05-14 185
2019独角兽企业重金招聘Python工程师标准>>> ...
入侵linux服务器经历,一次linux被入侵经历
weixin_35148271的博客
05-11 343
最近因为工作需要申请了3台Linux虚拟机,因为需要多人多地协作,所以开通了互联网访问权限,即给每天服务器配置了公网IP,有一天突然发现服务器运行速度巨慢,就上服务器进行查看,下面把整个过程如实记录,希望帮助到也有此遭遇的朋友。查看异常进程登录到服务器使用top命令查看进程使用服务器资源情况,发现有一个进程cpu使用率300%多,而且这个进程的名字很奇怪,是一个随机字符串,截图如下:top命令执行...
记录一下五天前的晚上阿里云服务器redis被入侵经历
weixin_43938739的博客
05-17 924
我是个普通大二学生,最近做项目需要部署到服务器上,于是我月初在阿里云买了个小服务器,安装好jdk,tomcat,mysql,redis就没管了,第一次弄服务器,没什么经验,当时漏洞我没管,打算有空再搞.redis密码也没设置(太蠢了),端口还是默认的6379对外网开放. 就这么相安无事过了7天吧,那天晚上还在打游戏,看到阿里云发来的短信心头一紧,马上上去看,被入侵了,查了一会,发现是挖矿木马,就是如下这种 https://zhuanlan.zhihu.com/p/54610161 我上来就登录redis f
如何抓到入侵网站的黑客
weixin_34092455的博客
07-09 2969
shotgun ,讲故事的黑客 366 人赞同 利益相关:信息安全从业人员,曾在某大学教过公安部委托培训信息安全硕士《攻防与技术侦破》专业课。======按照时间划分,一次犯罪是由犯罪动机、犯罪方法和犯罪后果三个部分构成的,那么侦破也相应的可以从这三个部分分别入手。先来看动机,最难侦破的是无动机犯罪,例如走在街上临时起意做了个案子,回家后洗心革面重新做人,这种案子往往会成为“悬...
检查黑客入侵小窍门
Inspiration126的博客
02-10 557
查看历史登录失败记录:lastlog 查看当前登录的全部用户:who 查看当前所有进程及运行用户:lsof 查看当前正在运行的后台进程:jobs -l 终止第一个正在后台运行的进程:kill %1 注:如黑客入侵,必要的办法修改最该权限root密码,并将篡改后的服务配置不再使用,需要卸载后重新安装配置,修改远程登录仅限于局域网登录并制定防火墙规则 tail /var/log/secure //...
某大牛的入侵实战经验总结
tingyuanss的专栏
08-21 3305
不分语言,只谈拿webshell,至于提权,这里不说 1.无论什么站,无论什么语言,第一件事就是扫目录,最好一下扫出个上传点,直接上传shell,诸位不要笑,有时候你花很久搞一个站,最后发现有个现成的上传点,而且很容易猜到,不过这种情况发生在asp居多! 2.asp(aspx)+MSSQL先考虑注入,一般的注入都有DBowner权限可以直接写shell;如果写不了,或者web与数据库分离,那就
入侵服务器自查操作文档
weixin_56306210的博客
06-21 311
入侵服务器自查操作文档
一次MSF永恒之蓝入侵win7系统实验
weixin_62297109的博客
12-31 3736
MSF是渗透安全人员非常重要的,必须了解的一个软件,这次实验记录一些msf最基础最简单的用法和命令,希望对大家入门有所帮助
盘点史上最严重的五大黑客攻击事件
VN520的博客
03-10 2087
黑客攻击事件频频发生 数据安全越发重要索尼旗下PlayStation Network平台又遭黑客入侵,数百万用户的姓名、住址、账号密码等信息遭窃。这一消息被曝光以后,科技界再次聚焦互联网安全这个异常棘手但至关重要的话题。黑客入侵电脑网络并窃取用户数据并不是什么新鲜事,从电脑网络问世至今,或许几乎每天都在发生。然而,随着网民数量不断增加,越来越敏感的数据保存在电脑之上,数据安全问题变得愈发重要。这些数据库通常极为安全,对于黑客来说,用户姓名、电子邮件地址、信用卡信息都相当值钱,为了获取这些信息,他们可以不择手
一次服务器入侵事件的应急响应
最新发布
2401_84466336的博客
06-21 1474
我们推测攻击者不止一个,并且都是通过SSH弱口令入侵服务器。事件时间线如下图所示:第一波攻击者可能是挖矿组织,在5月7日大概率利用SSH弱口令进入服务器上传挖矿程序somescript,且做了对应的维持手段。第二波攻击者可能是黑产组织,攻击时间为7月16日至7月17日,其操作是对网站做黑帽SEO,更改宝塔后台并上传大量后门。第三波攻击者应该只是想控制一批跳板机,在8月17日上传了代理程序,目前在服务器上出现的恶意事件最后截止也是到8月17日。
服务器被矿工入侵记录
王瑞的技术专栏
08-11 1159
一次服务器被矿工入驻的处理记录
剖析:一次***Linux服务器的事件记录
weixin_33742618的博客
01-01 387
剖析:一次***Linux服务器的事件记录Rem1x @ 系统安全 2013-12-22 共 6978 人围观,发现 6 个不明物体 +10收藏该文针对此PHP漏洞的尝试,ColdFusion,内容管理系统存在此漏洞是很常见的。在某些情况下,特定的***可能会成功,对高价值的服务器,会导致非常显著的数据泄漏。在其他情况下,***者将会大规模的操控被感染的主机。最近,我注意到多...
查看服务器入侵痕迹
fralychen的博客
01-18 2573
fralychen  实例内入侵信息查看您可结合日志和历史脚本命令查看相关入侵痕迹及操作 日志查看 windows直接查看事件查看器 Win+R 输入 eventvwr.msc linux日志路径在 /var/log/ 下 last -f /var/log/wtmp #查看可以IP登陆 cat /var/log/sercure #系统登陆日志及IP 历史命令 windows 获取power...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叱咤少帅(少帅)

如果文章对你有帮助就打赏下吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值