一點(diǎn)一滴，編程人生

事情描述：
本人在阿里云上創(chuàng)建了一個(gè)linux服務(wù)器，跑了一個(gè)自己的測(cè)試web項(xiàng)目。搭建了redis。想方便測(cè)試用，就沒(méi)有對(duì)redis進(jìn)行任何安全防護(hù)并暴露在了公網(wǎng)上。期間阿里云發(fā)現(xiàn)了此問(wèn)題，還發(fā)短信提醒我，由于最近在公司一直加班也沒(méi)有時(shí)間理會(huì)，沒(méi)想到就在今天真的被黑了，事后心想多虧是個(gè)測(cè)試服務(wù)器，如果是正式環(huán)境，也真危險(xiǎn)，這個(gè)黑客也沒(méi)有停下腳步，通過(guò)redis強(qiáng)大的能力在/root/.ssh目錄下面上傳了公鑰，徹底攻破了服務(wù)器，免密碼登錄服務(wù)器，一般黑客到這步也就看看有沒(méi)有興趣的數(shù)據(jù)，這個(gè)黑客一看這就是個(gè)沒(méi)有價(jià)值的測(cè)試服務(wù)器，所以心一橫，在我這上面裝了個(gè)DDOS攻擊軟件，把我的機(jī)器當(dāng)起肉雞。

1.這就是黑完后留下的公鑰/私鑰，刪除authorized_keys，id_rsa， id_rsa.pub這三個(gè)文件吧，除非還想讓他繼續(xù)黑下去。。。。


2.通過(guò)redis的key *命令可以看到有個(gè)叫crackit的key。這就是黑客在入侵后留下來(lái)的，原先set的值是公鑰，入侵成功之后就改成這個(gè)了，把這個(gè)key也刪除掉吧。


3.修改redis默認(rèn)端口吧，不讓黑客利用6379端口。在redis安裝目錄中，修改redis.config文件。修改完了別忘了重啟redis服務(wù),

4.重啟后查看redis是否運(yùn)行
5.通過(guò)指定端口訪問(wèn)redis。
redis-cli -p 6666

6.給redis設(shè)置密碼或者干脆設(shè)置成只能內(nèi)網(wǎng)訪問(wèn)

7.通過(guò)top命令發(fā)現(xiàn)了幾個(gè)可疑的程序



8.minerd這個(gè)程序是個(gè)用來(lái)挖掘萊特幣的，這個(gè)黑客看來(lái)干了不少壞事啊。。我們用命令 ps -ef|grep minerd 查找一下這個(gè)進(jìn)程，殺掉這個(gè)進(jìn)程kill -9 18267，并且去/tmp目錄刪除minerd目錄


9.黑客在tmp目錄留下了一個(gè)叫1.sh的腳本，是用來(lái)下載挖掘萊特幣程序的。也把它kill掉吧。以下是腳本內(nèi)容。


10.通過(guò)cat /etc/passwd命令可以看到有一個(gè)叫作syss的非法用戶(hù)，權(quán)限還很高，跟root一樣，刪掉他吧，這是黑客入侵后方便進(jìn)入的。使用命令userdel -f syss 強(qiáng)制刪除一個(gè)用戶(hù)，哪怕他正在登錄。


11.去/mnt目錄上，可以看到黑客掛載了很多程序，刪除他們吧。


12.通過(guò)nethogs軟件可以按進(jìn)程實(shí)時(shí)統(tǒng)計(jì)網(wǎng)絡(luò)帶寬利用率，這個(gè)用來(lái)看是否存在DDOS攻擊最好不過(guò)了。

13.暫時(shí)解決對(duì)外DDOS攻擊，最快的辦法就是用防火墻，這個(gè)阿里云提供的腳本幫了大忙。直接上傳到服務(wù)器上，運(yùn)行一下世界就清靜了。下載地址：