文档章节

记一次入侵处理

阿dai学长
 阿dai学长
发布于 05/14 16:05
字数 754
阅读 36
收藏 0

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>>

2019-05-14,终于自己也经历一次服务器被挖矿的事件。

之前,听道友们讲Linux服务器被入侵、被挂马等等,当时感觉很不可思议,怎么会轻轻松松被入侵呢?安全防护得多low!(不过,这次并未打脸,被入侵的是大数据的机器,不归运维管理)

情景是这样的,早上上班老大告诉我说手机收到告警,提示有xxx疑似挖矿程序入侵了xxx和xxx机器。马上进入状态,查看对应服务器信息,竟然是大数据那边的,坑人的是通过运维的中控机不能ssh。赶紧联系大数据负责人,授权中控机root访问权限。登陆机器,根据以往经验,开始排查:

查看服务器负载,如果被挖矿负载应该很高才对: 20190514155781975751796.png

不出所料,负载已经跑满。

赶紧看一下到底是哪个进程,使用top查看到一个名为donatexxx的进程占用CPU最高。第一时间找大数据人员进行核对,确定就是这个进程!干掉?No!并没有立马将其杀死,而是查看进程信息:

20190514155781999679746.png

查看一下上面的ip地址,来自芬兰!

让大数据同事在所有大数据机器上执行netstat -anp |grep '95.216.44.240' 确认其他机器没被入侵,然后才对这个进程做了处理。

  • 清理定时任务;
  • 清理进程启动文件
  • kill进程
  • 封锁对于ip

在上面的排查过程中没有找到其他痕迹,安全起见,在安全组将这个ip封掉。

反思:

  • 为什么所有机器都配置外网呢?
  • 查看安全组,发现端口开放粒度也比较大。
  • 能不能去掉公网ip?
  • 或者说能不能对公网ip做收敛?开一公网,其他的通过代理去访问?

还好被入侵的只是测试机器,而且只是用来做一些简单的日志分析,目前来看没有造成什么损失。不过,既然出现这样的情况,就应该好好反思一下:

是否哪里存在其他的安全风险?

公司的安全建设是否到位?

对于系列安全风险,感知是否足够灵敏?

等等一系列问题都应该好好想一想...

楼主也是第一次处理类似的事情,而且对于安全相关的知识了解的也知识皮毛,内容存在很多的瑕疵,大家有什么好的建议希望留言补充,谢谢! 不喜勿喷!

© 著作权归作者所有

阿dai学长
粉丝 76
博文 263
码字总数 337363
作品 0
朝阳
运维
私信 提问
入侵检测 Snort 2.8.5.2 发布

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有 三种工作模式:嗅探器、数据包记录器、网络入侵检测系统模式。嗅探器模式仅仅是从网络上读...

红薯
2010/01/02
589
1
记一次惊心动魄的黑客攻击

一直知道有黑客的存在,一直知道有“黑产”的存在,但没想到过有一天我如此近距离的接触黑客以及所谓的黑产。 事情的经过大概是这样的,昨天晚上10点登录系统突然收到告警短信,告警信息表明...

DearNicole
2017/12/06
0
0
学习入侵躲避技术---理解AET

学习入侵躲避技术---理解AET Jack zhai 什么是入侵躲避技术 2010年10月18日,芬兰的Stonesoft公司宣布发现了一种新型的高级逃逸技术(AET:Advanced Evasion Technique),可以轻松躲避目前的...

余二五
2017/11/15
0
0
裸奔的后果!一次ssh被篡改的入侵事件

通常服务器安全问题在规模较小的公司常常被忽略,没有负责安全的专员,尤其是游戏行业,因为其普遍架构决定了游戏服通常都是内网进行数据交互,一般端口不对外开放,也因此对安全问题不过于重...

不死鸟一辉
2014/08/29
0
0
企业安全最佳实践-全流量Web入侵检测系统

一.背景说明 从目前来看,大多数互联网业务是以web服务对外交付的,攻击者大多数也是通过web入侵到系统里,不管什么方式,都绕不过web系统的探测和入侵尝试这一关,所以如果要做入侵检测,可...

libinlarry
2017/06/30
0
0

没有更多内容

加载失败,请刷新页面

加载更多

交换机switch 的shutdown 与 no shutdown

shutdown是关闭接口(端口),接口状态会变为DOWN,no shutdown是激活接口(端口),状态变为UP,一般在给vlan或者端口配置管理ip或者端口ip后使用。 有时候我们配置某个端口前会需要把端口关闭到...

刘日辉
39分钟前
5
0
AOP底层源码分析

思维导图 AOP AOP: 面向切面编程[底层就是动态代理] 指程序在运行期间动态的将某段代码切入到指定方法位置进行运行的编程方式。 AOP通知方式 前置通知: logStart(),在目标方法(div)运行之前运...

volc1612
53分钟前
5
0
OSChina 周六乱弹 —— 别听他们的,你不胖你只是毛茸茸的

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @且无需多言 :分享Rise Against的单曲《Audience Of One (Ghost Note Symphonies)》: 硬核朋克不插电版本,隐藏在喧嚣下的柔情! 《Audienc...

小小编辑
今天
40
2
apache httpClient实现代理发送Post请求

CredentialsProvider credsProvider = new BasicCredentialsProvider(); credsProvider.setCredentials( new AuthScope("host", port), new UsernamePasswordCredentials(username, password......

huangkejie
今天
6
0
SpringCloud

单体应用存在的问题 ● 随着业务的发展,开发变得越来越复杂。 ● 修改、新增某个功能,需要对整个系统进行测试,重新部署。 ● 一个模块出现问题,很可能导致整个系统崩溃。 ● 多个开发团队...

Star永恒
今天
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部