阿里雲服務器被侵入記錄

2014-1-11 14:58 收到信息,雲服務器存在對外DDOS攻擊.

2014-1-11 15:30 首先查看服務器監控記錄(後截屏)

發現網絡在14點和18點時,網絡忽然異常.應該是受到了劫持

 

2014-1-11 15:50 使用服務器自帶的Chkrootkit檢測是否被暴力破解

直接運行

# chkrootkit

沒有發現異常

 

2014-1-11 16:02 下載Rootkit Hunter進行檢測

# wget http://cznic.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz (下載)
# tar zxvg rkhunter-1.4.2.tar.gz (解壓)
...
# rkhunter-1.4.2/installer.sh (安裝)
...
# rkhunter -c (安裝完成以後,檢測)

發現一堆Warning,不知道什麼意思

Checking for prerequisites                                   [ Warning ]
    /sbin/ifdown                                             [ Warning ]
    /sbin/ifup                                               [ Warning ]
    /usr/bin/GET                                             [ Warning ]
    /usr/bin/ldd                                             [ Warning ]
    /usr/bin/whatis                                          [ Warning ]

Performing system configuration file checks
    Checking if SSH root access is allowed                   [ Warning ]

 Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

 

2015-01-11 17:01 嘗試自行解決,使用setup從新設置防火牆,關閉tcp:8080端口,重啓防火牆等操做

 

2015-01-11 20:27 殺毒無果,爲了防止服務器被鎖,立刻下阿里雲工單,說明問題,請求技術支持

 

2015-01-11 20:31 從阿里工程師那邊獲得被攻擊的機器IP爲 xxx.xxx.xxx.xxx

 

2015-01-11 21:22 使用抓包命令查看本機攻擊的程序

tcpdump -i eth1 dst xxx.xxx.xxx.xxx

監控15分鐘,發現沒有任何包被抓取,警報解除,阿里雲回覆 [查看該次惡意掃描的流程已經結束]

 

過後補救

開啓下雲盾的web攻擊攔截高級設置，添加CNAME域名