服务器被腾讯云助手告警通知有木马文件

简介: 春节假期刚过,正常上班的日子正在进入步伐,早上起来的时候发现腾讯助手发来了好几条安全告警通知,检测到几个木马文件,巧了,昨天也收到一个木马警告,作为一个网络小白的我,只是把木马文件隔离,没想到今天又中招了,其实我很懵,怎么会有人攻击我网站服务器,而且服务器上我只是部署了几个自己的站点,所以我的第一反应是是不是公司里哪个大佬想用我的服务器练练手,但当我打开腾讯云的入侵检测页面时,发现事情并没有这么简单,看着入侵时间分别是半夜的12点和凌晨的3点,感觉像是定时任务,而且服务器文件都还在,没有被加密,所以应该也不是勒索病毒,但是我的站点都打不开了,加载的时候一直在转圈圈,从凌晨12点开始,CPU占用

春节假期刚过,正常上班的日子正在进入步伐,早上起来的时候发现腾讯助手发来了好几条安全告警通知,检测到几个木马文件,巧了,昨天也收到一个木马警告,作为一个网络小白的我,只是把木马文件隔离,没想到今天又中招了,其实我很懵,怎么会有人攻击我网站服务器,而且服务器上我只是部署了几个自己的站点,所以我的第一反应是是不是公司里哪个大佬想用我的服务器练练手,但当我打开腾讯云的入侵检测页面时,发现事情并没有这么简单,看着入侵时间分别是半夜的12点和凌晨的3点,感觉像是定时任务,而且服务器文件都还在,没有被加密,所以应该也不是勒索病毒,但是我的站点都打不开了,加载的时候一直在转圈圈,从凌晨12点开始,CPU占用一直百分之百,看到这里对网络安全熟悉的朋友应该就能看出来,我这是被挖矿了,黑客通过批量入侵主机使用这些主机的算力为他们挖矿,好吧,其实当时我根本就不知道是被挖矿了,我当机立断把木马文件隔离,然后重启了一波服务器,CPU占用是正常了,网络也都可以访问了,但是这治标不治本,估计明天半夜又被入侵了。

于是我查看了这几个木马文件的位置,有了新的发现,这Dota3的压缩文件是什么鬼,顺手搜了一波,原来是被植入挖矿木马了,刚好看到一篇文章和我的这个情况基本一致,那我就不用慌了,因为人家的文章里写了如何解决,我先来看看这些木马文件里都有些什么,毕竟是第一次被成功入侵,还是有点好奇,打开这个文件夹进入文件夹a里面有4个文件,这些需要脚本感觉是挖矿前的环境准备,这里还有判断CPU类型,然后执行对应的脚本,看一下文件夹b有三个文件,这个脚本有点意思,这个代码很长是用编码过了,先往下看,这儿把黑客的Rsa公钥添加到信任列表里,然后就能直接免密登录我的服务器,剩下的文件夹c也是类似的一些需要脚本就不看了,先把这段很长的代码解码一下,解码后得到这么多看起来也是乱码的文件,然后用Perl执行一下,这些就是源代码了,这个sync应该就是木马程序的进程名。

然后下面这个应该就是攻击者的IP地址,让我们查看一下,显示地址是欧盟,这个入侵我服务器的主机IP和那篇文章作者受到的入侵IP是同一个网段下的,估计是同一个机房里的机器。那么到这里服务器被挖矿的过程已经挺清晰了,但还有一个最大的问题,他们是如何攻破我的服务器的,或者说我的服务器哪里存在了漏洞,然后看这篇文章里作者的服务器是因为弱口令而被入侵,但是我的服务器管理员密码是由10位大写字母加小写字母加数字加标点组成的,按道理来说应该是不容易被爆破的。

正当我百思不得其解,然后区分木马文件目录时,发现这些文件的所有者都是1002,然后我发现了一个a点txt的文件所有者也是1002,打开一看我愣住了,文件里赫然写着user password信息,两天前为了给朋友用我的服务器,于是我新建了一个用户用户名就是user,密码就是pass我的,然后当天晚上就被爆破了打脸了打脸了,竟然是如此简单的原因。好吧,再看一下我的服务器登录记录,有5000次的登录失败次数,然后查看那些登录失败的记录,对方直接通过高爆破ssh弱密码来尝试入侵,真是个既简单越有效的方法,你看我就中招了。

那么网络小白的第一次与挖矿木马硬碰硬,被入侵的经历大概就是这样了,清楚这个挖矿木马的步骤也很简单,第一步当然是删了user这个账户以及该账户下的所有文件,这个步骤就把ssh的后门以及在user账户下与该木马有关的所有文件都删掉了。第二步就是更换默认的ssh登录端口,这两个步骤完成后,挖矿木马就没有那么容易入侵我的服务器了。所以对于像我这样的网络安全小白,只是在服务器上搭个博客,或者作为一个内网穿透的跳板而言,黑客一般是看不上的,我们只要设置一个安全系数高一点的登录密码,然后修改默认的ssh登录端口,那么被爆破的可能性就会大大降低了,当然换成Rsa密要登录的话那就更好了。

相关文章
|
2月前
|
机器学习/深度学习 存储 监控
内部文件审计:企业文件服务器审计对网络安全提升有哪些帮助?
企业文件服务器审计是保障信息安全、确保合规的关键措施。DataSecurity Plus 是由卓豪ManageEngine推出的审计工具,提供全面的文件访问监控、实时异常告警、用户行为分析及合规报告生成功能,助力企业防范数据泄露风险,满足GDPR、等保等多项合规要求,为企业的稳健发展保驾护航。
|
2月前
|
安全 Linux Shell
使用SCP命令在CentOS 7上向目标服务器传输文件
以上步骤是在CentOS 7系统上使用SCP命令进行文件传输的基础,操作简洁,易于理解。务必在执行命令前确认好各项参数,尤其是目录路径和文件名,以避免不必要的传输错误。
282 17
|
2月前
|
自然语言处理 Unix Linux
解决服务器中Jupyter笔记本的文件名字符编码问题
通过上述步骤,可以有效解决Jupyter笔记本的文件名字符编码问题,确保所有文件能在服务器上正常访问并交互,避免因编码问题引起的混淆和数据丢失。在处理任何编码问题时,务必谨慎并确保备份,因为文件名变更是
122 17
|
2月前
|
安全 Linux 网络安全
Python极速搭建局域网文件共享服务器:一行命令实现HTTPS安全传输
本文介绍如何利用Python的http.server模块,通过一行命令快速搭建支持HTTPS的安全文件下载服务器,无需第三方工具,3分钟部署,保障局域网文件共享的隐私与安全。
574 0
|
4月前
|
物联网
如何在腾讯云等平台搭建自己的物联网MQTT服务器Broker
物联网技术及MQTT协议被广泛应用于各种场景。本文介绍物联网MQTT服务助手下载,如何搭建自己的物联网平台,并使用 “MQTT客户端调试工具”模拟MQTT设备,接入平台进行消息收发。
403 37
|
5月前
|
Python
使用Python实现multipart/form-data文件接收的http服务器
至此,使用Python实现一个可以接收 'multipart/form-data' 文件的HTTP服务器的步骤就讲解完毕了。希望通过我的讲解,你可以更好地理解其中的逻辑,另外,你也可以尝试在实际项目中运用这方面的知识。
264 69
|
10月前
|
Java
java小工具util系列5:java文件相关操作工具,包括读取服务器路径下文件,删除文件及子文件,删除文件夹等方法
java小工具util系列5:java文件相关操作工具,包括读取服务器路径下文件,删除文件及子文件,删除文件夹等方法
208 9
|
6月前
|
前端开发 Cloud Native Java
Java||Springboot读取本地目录的文件和文件结构,读取服务器文档目录数据供前端渲染的API实现
博客不应该只有代码和解决方案,重点应该在于给出解决方案的同时分享思维模式,只有思维才能可持续地解决问题,只有思维才是真正值得学习和分享的核心要素。如果这篇博客能给您带来一点帮助,麻烦您点个赞支持一下,还可以收藏起来以备不时之需,有疑问和错误欢迎在评论区指出~
Java||Springboot读取本地目录的文件和文件结构,读取服务器文档目录数据供前端渲染的API实现
|
存储 UED Windows
Windows服务器上大量文件迁移方案
Windows服务器上大量文件迁移方案
850 1
|
6月前
|
数据库
【YashanDB知识库】服务器重启后启动yasom和yasagent进程时有告警
【YashanDB知识库】服务器重启后启动yasom和yasagent进程时有告警

热门文章

最新文章