阿里云服务器被侵入记录

时间 2019-11-30

原文原文链接

2014-1-11 14:58 收到信息,云服务器存在对外DDOS攻击.web

2014-1-11 15:30 首先查看服务器监控记录(后截屏)服务器

发现网络在14点和18点时,网络忽然异常.应该是受到了劫持网络

2014-1-11 15:50 使用服务器自带的Chkrootkit检测是否被暴力破解tcp

直接运行ui

# chkrootkit

没有发现异常阿里云

2014-1-11 16:02 下载Rootkit Hunter进行检测spa

# wget http://cznic.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz (下载)
# tar zxvg rkhunter-1.4.2.tar.gz (解压)
...
# rkhunter-1.4.2/installer.sh (安装)
...
# rkhunter -c (安装完成以后,检测)

发现一堆Warning,不知道什么意思.net

Checking for prerequisites                                   [ Warning ]
    /sbin/ifdown                                             [ Warning ]
    /sbin/ifup                                               [ Warning ]
    /usr/bin/GET                                             [ Warning ]
    /usr/bin/ldd                                             [ Warning ]
    /usr/bin/whatis                                          [ Warning ]

Performing system configuration file checks
    Checking if SSH root access is allowed                   [ Warning ]

 Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

2015-01-11 17:01 尝试自行解决,使用setup从新设置防火墙,关闭tcp:8080端口,重启防火墙等操做orm

2015-01-11 20:27 杀毒无果,为了防止服务器被锁,立刻下阿里云工单,说明问题,请求技术支持blog

2015-01-11 20:31 从阿里工程师那边获得被攻击的机器IP为 xxx.xxx.xxx.xxx

2015-01-11 21:22 使用抓包命令查看本机攻击的程序

tcpdump -i eth1 dst xxx.xxx.xxx.xxx

监控15分钟,发现没有任何包被抓取,警报解除,阿里云回复 [查看该次恶意扫描的流程已经结束]

过后补救

开启下云盾的web攻击拦截高级设置，添加CNAME域名