粘贴图片

发现问题

某日接收到来自阿里云的挖矿程序的短信通知。

粘贴图片

排查问题

查看服务器资源占用情况

使用 top 命令查看当前进程情况,使用 shift + P 按 CPU 使用率进行排序。

粘贴图片

发现一个 trace 命令(进程 ID 是 10800)占用了绝大多数的 CPU 使用量。

查看该进程详情

ps -ef | grep 10800

粘贴图片

登录阿里云查看报警详情

服务器被入侵的来源就是 AccessKey 被泄露了,该 AccessKey 有服务器、阿里云控制台的完全管理权限,入侵者使用该 AccessKey 进行远程执行命令,将矿工程序植入进服务器。

粘贴图片

粘贴图片

解决问题

杀进程

使用 kill 命令杀掉上文提到的 trace 命令(进程 ID 是 10800)的进程。

合理管理访问令牌

阿里云因为历史原因,目前有两种访问令牌的存在,一种是完全访问权限的令牌(旧的,叫 AK),还有一种是动态访问权限的令牌(新的,叫 RAM)。

粘贴图片

粘贴图片

因为我泄露的是完全访问权限的令牌,因此将其全部删除即可,注意在使用到的地方需要修改成新的令牌。

修改密码

  • 使用 passwd user 修改服务器密码
  • 修改阿里云登录密码
  • 绑定虚拟 MFA,登录控制台二次验证
0 条评论
作者
状态
  • 发布于 ,0 次更新
  • 被浏览 180 次
  • 被评论 0 次
  • 隶属于 文章 版块
  • 归纳于 默认 分类
二维码
目录