返回顶部
首页 > 资讯 > 后端开发 > Python >码农的黑客反击战(二)
  • 320
分享到

码农的黑客反击战(二)

反击战黑客 2023-01-31 08:01:07 320人浏览 八月长安

Python 官方文档:入门教程 => 点击学习

摘要

前言 最近阿里云的服务器被黑客黑了做成了肉鸡,上传一次发现专门清理过一次(Http://www.toutiao.com/i63432...),当时就感觉可能没有清除干净,果然,后面几天每天都会收到阿里云的报警短信,具体症状主要是ssh客户

前言

最近阿里云服务器被黑客黑了做成了肉鸡,上传一次发现专门清理过一次(Http://www.toutiao.com/i63432...),当时就感觉可能没有清除干净,果然,后面几天每天都会收到阿里云的报警短信,具体症状主要是ssh客户端连接不上,登录阿里云控制台重启之后就可以连,但几个小时后上面跑的服务倒是正常的。所以一直也没有顾上管,今天抽空又去清理了一次。

处理

1.处理云后台报警信息:
根据云后台报警信息,提示有后门程序存在,根据提示查找相应目录,找到后门程序并删除:

root@iZ25lwdric8Z:/usr/bin# pyth pythno python Python2 python2.7 python3 python3.4 python3.4m python3m
root@iZ25lwdric8Z:/usr/bin/bsd-port# ls knerl knerl.conf

2.删除感染文件
在阿里云的后台警告里还发现有下载病毒文件的提示,根据提示查找相应文件。 [图片] 后来在boot目录下发现一堆异常文件,全部删除。

/boot abi-3.13.0-32-generic -rwxr-xr-x 1 root root 274808 Oct 7 15:53 aozxzdbfis* -rwxr-xr-x 1 root root 274808 Oct 15 19:37 bbavuhdmri* -rwxr-xr-x 1 root root 0 Oct 15 20:00 bgnqzgbufn* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 bumcwykrjj* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 cnpplnjcdd* -rw-r--r-- 1 root root 75 Oct 31 12:32 conf.n -rwxr-xr-x 1 root root 274808 Oct 7 15:53 dwneynlzyw* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 efrmetpcgd* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 egxrqjimuy* -rwxr-xr-x 1 root root 4096 Oct 15 18:24 extmulioke* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 eyhzuvhhij* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 fgbioungdb* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 fhuggtmbig* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 fjxgrbljjd* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 fkmnpxquvu* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 Godghrbbwy* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 gsugoboncy* -rwxr-xr-x 1 root root 0 Oct 15 20:41 gwexawpbty* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 hlkzmtramm* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 hygzlbpcfz* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 iamglpkedb* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 iavtgffmgw* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 ighesktgdm* -rwxrwxrwx 1 root root 1135000 Oct 22 10:11 iss* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 jalbglrytg* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 jeygefcens* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 jtswtstxcr* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 jutumokmfy* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 jyajufvmib* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 keuvizznlm* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 khlcattweq* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 kiwwpjblkl* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 kmrwbpxybh* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 llybvcogsm* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 lsubdmnzih* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 mafvoardpz* -rwxr-xr-x 1 root root 274808 Oct 15 17:45 nimtgldgak* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 nmcqjdvbnh* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 nnejyawlfq* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 nptabkovas* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 nuwwochtfg* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 nxzytjppby* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 oszqgzlqxf* -rwxr-xr-x 1 root root 0 Oct 15 20:49 oyowzphnsm* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 oznxksrmyy* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 pfwzluoxiu* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 pjpjgogzgo* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 puqatevzxr* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 qiayvbpmyn* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 raqifowtpw* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 rczvtbutzz* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 rftjduumvo* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 rgfyuwrcqd* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 sqvaooipmd* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 svszkutrqk* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 szfecatvio* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 thiibkmxvd* -rwxr-xr-x 1 root root 274808 Oct 15 17:08 tyudkxnzrs* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 umalggzxer* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 umuoguvill* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 uwmxnnrjvf* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 vaidcxajat* -rwxr-xr-x 1 root root 274808 Oct 7 15:45 vsoiOStmjo* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 wflcktfpdt* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 wgswdcxppz* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 wljgdutvlw* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 ydeferhoaj* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 ysjmydgyhg* -rwxr-xr-x 1 root root 274808 Oct 7 15:53 zvyfyvqbse*

找到并删除下载的病毒文件iss,删除时提示没有操作权限,修改文件权限后正常删除。

root@iZ25lwdric8Z:/boot# rm -f iss rm: cannot remove ‘iss’: Operation not permitted
root@iZ25lwdric8Z:/boot# lsattr iss ----i--------e-- iss
root@iZ25lwdric8Z:/boot# chattr -i iss root@iZ25lwdric8Z:/boot# lsattr iss -------------e-- iss root@iZ25lwdric8Z:/boot# rm -f iss

3.处理肉鸡行为
码农的黑客反击战(二)

前几天阿里云后台还报警过肉鸡行为,继续找系统里可疑的文件,后来在启动文件rc.local中发现最后一行DDosClient命令,很明显,这应该是被人当做肉鸡,用来发起DDos攻击。删除。

PATH=/sbin:/usr/sbin:/bin:/usr/bin
. /lib/init/vars.sh . /lib/lsb/init-functions
do_start() { if [ -x /etc/rc.local ]; then [ "$VERBOSE" != no ] && log_begin_msg "Running local boot scripts (/etc/rc.local)" /etc/rc.local ES=$? [ "$VERBOSE" != no ] && log_end_msg $ES return $ES fi }
case "$1" in start) do_start ;; restart|reload|force-reload) echo "Error: argument '$1' not supported" >&2 exit 3 ;; stop) ;; *) echo "Usage: $0 start|stop" >&2 exit 3 ;; esacDDosClient &

然后在文件系统中查找DDosClient文件,并删除

root@iZ25lwdric8Z:/# find -name DDosClient ./opt/dt/DDosClient

4.使用杀毒软件
下载杀毒软件,使用杀毒软件再清理一次。ClamAV安装说明。全盘扫描后,果然发现17个被感染文件。

----------- SCAN SUMMARY ----------- Known viruses: 5018129 Engine version: 0.99.2 Scanned directories: 50605 Scanned files: 215736 Infected files: 17 Total errors: 14166 Data scanned: 13729.61 MB Data read: 16311.49 MB (ratio 0.84:1) Time: 1933.999 sec (32 m 13 s)
这些是被删除的感染文件。
/var/lib/Docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/bin/ps: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/bin/ps: Removed. /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/bin/netstat: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/bin/netstat: Removed. /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/bsd-port/getty: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/bsd-port/getty: Removed. /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/.sshd: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/.sshd: Removed. /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/lsof: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/usr/bin/lsof: Removed. /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/etc/aipok: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/66b7e760fc98049ff109fa4b6a4f1d71ce2e4822e77fdeb722836675c232c62d/etc/aipok: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/bin/ps: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/bin/ps: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/bin/netstat: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/bin/netstat: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/A2: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/A2: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/root/fu: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/root/fu: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/root/ltma: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/root/ltma: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/bsd-port/getty: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/bsd-port/getty: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/.sshd: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/.sshd: Removed. /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/lsof: Unix.Trojan.Agent-37008 FOUND /var/lib/docker/aufs/diff/21f65507d020e17628e0b722b8535260115288a7f1dfe42337aff054449563b2/usr/bin/lsof: Removed.

后记

经过这次清理,也不敢保证已经完全清理干净了。上次清理完安装了防火墙,这次查看也没有发现异常。后继继续观察。

--结束END--

本文标题: 码农的黑客反击战(二)

本文链接: https://lsjlt.com/news/193152.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • 码农的黑客反击战(二)
    前言 最近阿里云的服务器被黑客黑了做成了肉鸡,上传一次发现专门清理过一次(http://www.toutiao.com/i63432...),当时就感觉可能没有清除干净,果然,后面几天每天都会收到阿里云的报警短信,具体症状主要是ssh客户...
    99+
    2023-01-31
    反击战 黑客
  • python密码学黑客攻击RSA密码
    目录黑客攻击RSA密码输出黑客攻击RSA密码 使用小素数可能会破坏RSA密码,但如果使用大数字则认为不可能.指出难以破解RSA密码的原因如下: 暴力攻击不起作用有太多可能的钥匙要完成...
    99+
    2024-04-02
  • 黑客攻击的流程
    常规攻击流程: 明确目标→信息收集→漏洞探测→漏洞验证→信息分析→获取所需 1、明确目标: 确认范围:测试目标的范围,IP,域名,内外网。确认规则:能渗透到什么程度,时间,能否提权等。确认需求:WEB应用的漏洞(新上线程序)?业务逻辑漏洞(...
    99+
    2023-10-06
    网络 安全 web安全 网络安全 服务器
  • Python与网络安全:黑客对抗红客的代码之战
    Python是一门多才多艺的编程语言,在网络安全领域发挥着重要的作用。其广泛的库和模块赋予了黑客和红客强大的功能,允许他们执行复杂的任务,从渗透测试到恶意软件开发。 攻击方:黑客利用Python 黑客利用Python实施各种攻击,包括: ...
    99+
    2024-03-03
    Python、网络安全、黑客、红客、渗透测试
  • 黑客攻击企业的方式
    现在,也许黑客正在测试贵公司防火墙的防守力量,寻找一个随时可以发起攻击所需要的一个漏洞。通常这个漏洞可能不是一个具体的“漏洞”,而是一个“人”(公司员工)。人为的漏洞,也许只需员工下载一个不良附件,再点击其恶意链接,或者给攻击者发送一条重要...
    99+
    2023-06-05
  • 自己的云服务器被黑客攻击了
    首先,使用云服务器的用户应该注意防范黑客攻击。黑客攻击通常是通过恶意软件、病毒等手段来实现的。因此,使用云服务器的用户应该安装并定期更新防病毒软件、防火墙等安全软件,同时定期备份数据,以防止数据被恶意窃取或丢失。 其次,用户需要注意云服务...
    99+
    2023-10-28
    自己的 黑客攻击 服务器
  • GitHub遭黑客攻击:窃取数百源码并勒索比特币
    大数据文摘编辑部出品五一过后,一些程序员查看自己托管到GitHub上的代码时发现,他们的源代码和Repo都已消失不见,上周四,一位Reddit用户写了一篇帖子,说他的存储库被黑了。代码也被删除了,取而代之的是黑客留下的一封勒索信。黑客在这封...
    99+
    2023-06-04
  • 阿里云服务器遭受美国黑客攻击网络安全的警醒与挑战
    最近,中国领先的云计算服务提供商阿里云服务器遭受了美国黑客的攻击。这一事件引起了全球的广泛关注,也对中国网络安全提出了新的挑战。本文将深入探讨这一事件的影响以及如何提升网络安全水平。 一、阿里云服务器遭受美国黑客攻击的影响此次黑客攻击导致阿...
    99+
    2023-11-21
    阿里 美国 网络安全
  • CMS安全攻防战:黑客是如何攻击网站的,我们应该如何防御?
    黑客攻击网站的手法多种多样,从简单的SQL注入到复杂的跨站脚本攻击,不一而足。网站管理员需要了解这些攻击手法,并采取相应的防御措施来保护网站的安全。 SQL注入攻击 SQL注入攻击是一种常见的黑客攻击手法,它利用网站输入表单中的漏洞来向...
    99+
    2024-02-12
    黑客攻击 网站安全 SQL注入 跨站脚本攻击 防御措施
  • 黑客攻击美国服务器的方式有哪些
    黑客攻击美国服务器的方式有:1、利用美国服务器上的软件漏洞进行攻击;2、将木马程序隐藏在一些第三方程序里,在美国服务器安装使用就会被黑客攻击;3、暴力破解美国服务器管理员密码,从而远程操控美国服务器系统后台;4、通过大规模的流量攻击来消耗美...
    99+
    2024-04-02
  • PHP 代码安全:如何确保应用程序免受黑客攻击?
    为了保护 php 应用程序,需要遵循以下最佳实践:验证用户输入,过滤非法字符。转义输出中特殊字符,防止跨站脚本攻击。使用预处理语句或参数化查询,防止 sql 注入。使用安全框架,包含内置...
    99+
    2024-05-11
    php 代码安全 mysql laravel lsp
  • 黑客对美国服务器的攻击手段有哪些
    黑客对美国服务器的攻击手段有:1、通过VPN服务访问工作计算机系统,能规避政府审查制度或在电影流媒体网站上阻止位置封锁,是黑客必用的技术手段;2、通过加密扰乱计算机数据的方式,使数据被拦截;3、网络钓鱼,通过大量发送声称来自于银行或其他知名...
    99+
    2024-04-02
  • WordPress网站被黑客攻击的5个迹象是什么
    这篇文章主要介绍了WordPress网站被黑客攻击的5个迹象是什么,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。WordPress网站被黑客攻击的5个迹象  现在很多站长都会...
    99+
    2023-06-14
  • 网站防护避免黑客攻击的方法是什么
    1. 更新和维护网站软件和系统:及时更新网站的操作系统、应用程序和插件,以修补已知的漏洞和弱点。2. 使用强密码:使用长且复杂的密码...
    99+
    2023-06-04
    网站防护
  • 自己的云服务器被黑客攻击了怎么办
    更新防病毒软件和防火墙软件。 禁用所有可能被黑客利用的应用程序,包括登录凭证被恶意修改的应用程序。 禁止所有通过云服务访问的文件和文件夹,并将它们删除。 禁止未经授权的访问,只允许经过验证的用户访问。 定期备份数据,并将备份存储在安全的地...
    99+
    2023-10-27
    自己的 黑客攻击 服务器
  • 阿里云服务器被黑客攻击怎么解决的
    据悉,这次攻击的来源是一名名为“黑客联盟”的组织,该组织自称是由阿里云官方推动成立的,旨在打击黑客组织和网络犯罪活动。然而,该组织并没有遵守相关法律法规,对阿里云服务器的安全设置和保护措施存在漏洞,这才导致了这次黑客攻击事件的发生。 针对...
    99+
    2023-10-28
    阿里 黑客攻击 服务器
  • ASP Web 安全性:防范黑客攻击的5大策略
    ASP Web安全性对于保护您的网站免受黑客攻击至关重要。黑客攻击可能会导致数据泄露、网站瘫痪、声誉受损等严重后果。因此,采取有效的安全措施保护您的网站尤为必要。 以下5种策略可以帮助您提升ASP Web网站的安全性,防范黑客攻击: ...
    99+
    2024-02-13
    ASP Web安全 黑客攻击 防范策略 安全编码 输入验证 参数化查询 用户认证 数据加密
  • 服务器故障排除的黑客攻击:秘密武器
    服务器故障排除是一个持续的过程,需要深入了解服务器的内部工作原理。黑客攻击对服务器来说是一个严重的威胁,可能导致数据丢失、服务中断甚至严重损害。通过采用黑客技术,管理员和安全专业人员可以主动识别和消除潜在威胁,从而保持服务器安全和正常运行...
    99+
    2024-03-03
    服务器故障排除 黑客攻击 安全措施 数据恢复
  • 数据库访问控制的艺术:阻击黑客入侵
    理解访问控制 访问控制是一种机制,它限制用户访问数据库中资源的能力。它涉及识别和验证用户,授予适当的权限,并监控和记录访问活动。 访问控制模型 有几种访问控制模型可用于数据库: 基于角色的访问控制 (RBAC):将用户分配给具有特定权限...
    99+
    2024-04-02
  • Python网络安全黑客马拉松:用代码挑战网络世界的极限
    前言: 网络安全黑客马拉松是一个激烈且令人着迷的事件,汇集了网络安全专家和爱好者,他们使用他们的技能来应对网络世界的挑战。Python,一门以其可读性、多功能性和广泛的库而闻名的编程语言,是这些活动中必不可少的工具。 Python在黑客马...
    99+
    2024-03-03
    网络安全、黑客马拉松、Python、网络攻击、漏洞利用
软考高级职称资格查询
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。
  • 官方手机版

  • 微信公众号

  • 商务合作