环境信息
前两天搭建GIT服务器。设置了ssh登录的方式,同时也将git用户设置为了普通用户,并且设置了简单的登录密码。我猜测本次入侵就是扫描到了git账户,然后使用该账户登录进来的。现在已经将git用户的bash设置为了git-shell.同时在git用户的家目录下,也设置了ssh登录的方式,经过查看,authorized_keys并没有被修改,因此我觉得不可能是通过ssh的公钥登录的。
基本信息
这两天一直接到阿里云的服务器被入侵的通知。打开阿里云后台查看,果然如此。
解决
根据经验,现在一本的攻击都是为了获取服务器资源来进行挖矿,查看linux进程。果然出现一个占用大量CPU的zzh进程。
尝试将该进程杀掉。又出现一个git用户的bash进程,而且占用的cpu也不小。不过观察一段时间后,该进程也消失了。不过在开始的时候,也尝试过使用kill pid的方式,过来一会儿,进程又再次被启动。查看了所有的定时任务,都没有发现相关的定时器。现在使用kill -9 pid的方式,没有再次出现。
查看进程详细信息
1 | |
观察了半个小时,zzh进程好像没有再次启动了。
后来在/tmp下面发现了几个异常文件
过了一个多小时查看,发现zzh进程又被启动了。妹的。这个进程到底是被谁启动的呢?
猜测一:定时器
猜测二:Git提交触发的事件。
现在修改Git登录密码。静等进程再次启动。。。
后记
遇到问题解决步骤
- 查看进程
- 获取进程详细信息
- 杀掉进程
- 查找进程对应的文件信息
- 根据文件信息获取下一步的诊断操作:例如是什么用户引起的攻击