织梦二次开发

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 190|回复: 0

服务器被攻击被肉鸡了怎么办?

[复制链接]

61

主题

63

帖子

836

积分

管理员

Rank: 9Rank: 9Rank: 9

金币
38
贡献
735
发表于 2019-10-28 09:47:16 | 显示全部楼层 |阅读模式
服务器被攻击被肉鸡了怎么办?

今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了 明显是被入侵做为肉鸡了 处理过程
(1)查看登陆的用户 通过 who 查看,当前只有自己 通过 last 查看,的确有不明ip登陆记录

(2)安装阿里云的安骑士

(3)修改ssh端口、登陆密码,限定指定IP登陆

(4)检查开机自启动程序,没有异常

(5)检查定时任务 发现问题,定时任务文件中有下面的内容
REDIS0006?crackitA? ssh-rsa AAAAB3NzaC1y......bVMcIVHPyiP3/y/bliZ6JZC7jnZLk6kMvGw== [email]root@localhost.localdomain[/email] ??B??.?)

可以看到是被设置ssh免密码登陆了,漏洞就是redis 检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis 删除定时任务文件中的那些内容,重启定时服务

(6)把阿里云中云盾的监控通知项全部选中,通知手机号改为最新的手机号

(7)配置iptables,严格限制各个端口

总结教训:根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对服务器的安全配置不重视,例如redis的安全配置很简陋、ssh一直用默认端口、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的服务器管理者

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|织梦二次开发

GMT+8, 2019-12-8 05:11 , Processed in 0.168346 second(s), 20 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表