云服务器反黑客入侵攻防实录(一)
1、引言
? ? ? ? 網(wǎng)絡(luò)安全是互聯(lián)網(wǎng)永不過(guò)時(shí)的主題,尤其是在云計(jì)算時(shí)代,大量的計(jì)算機(jī)應(yīng)用遷移到云端,龐大的IT資產(chǎn)集結(jié)在云數(shù)據(jù)中心,一旦云數(shù)據(jù)中心爆發(fā)安全險(xiǎn)情,輕則大量服務(wù)停擺,重則敏感數(shù)據(jù)丟失、系統(tǒng)遭到破壞,損失不可估量。國(guó)內(nèi)幾大頭部云服務(wù)提供商,近一年都發(fā)生過(guò)網(wǎng)絡(luò)運(yùn)行或安全事故,拋開(kāi)經(jīng)濟(jì)損失不提,作為頂級(jí)IT巨頭出現(xiàn)安全問(wèn)題難免尷尬,授人以柄、影響聲譽(yù)。
? ? ? ??本文講述今天發(fā)生的一起黑客入侵事件,網(wǎng)絡(luò)紅客與黑客攻防對(duì)戰(zhàn)。作者帶您一步步揭開(kāi)黑客攻擊計(jì)算系統(tǒng)的內(nèi)幕,也講述網(wǎng)絡(luò)紅客如何絕地反擊。
? ? ? ??黑客身手不俗,深夜凌晨悄然侵入云服務(wù)器,步步為營(yíng),沿路設(shè)置重重障礙,就像冷兵器時(shí)代的鐵蒺藜、鐵拒馬灑滿一路,設(shè)下重重機(jī)關(guān),牽一發(fā)而動(dòng)全身,維系木馬程序存在。
? ? ? ??然并卵非也,魔高一尺,道高一丈。我們想象中,網(wǎng)絡(luò)紅客高舉網(wǎng)安利劍,直入特洛伊城,層層深入,抽絲剝繭,把黑客設(shè)下鐵蒺藜一根根拔出,輕松拆解隱秘機(jī)關(guān),最后堵上城防漏洞,恢復(fù)城市的健康和生機(jī)。這里的特洛伊城就是中招的云服務(wù)器。還可能留下一具木馬僵尸標(biāo)本,以供將來(lái)拆解、把玩。哈哈!
? ? ? ??事實(shí)果真如此嗎?
? ? ? ??閑話少敘,我們直奔主題,欣賞一場(chǎng)紅客、黑客攻防戰(zhàn)的來(lái)龍去脈和驚險(xiǎn)場(chǎng)景。
? ? ? ??從這個(gè)例子也感悟到,我們以為的真相其實(shí)只是表象,看到的表象是更淺顯的表象。就像俄羅斯套娃,一層套一層,不到最后一刻永遠(yuǎn)不知道是否抵達(dá)真相。
?
2、云機(jī)見(jiàn)疑云
2.1?遭遇半癱機(jī)
? ? ? ??最近一個(gè)月,同事們抱怨公司JIRA服務(wù)器變慢了,而且越來(lái)越慢,點(diǎn)擊頁(yè)面幾秒才有響應(yīng),幾個(gè)人同時(shí)點(diǎn)頁(yè)面,圓圈能不能轉(zhuǎn)出來(lái)看運(yùn)氣。最近我忙著做K3s系統(tǒng)遷移,對(duì)JIRA沒(méi)有太在意,也沒(méi)有關(guān)注PR和缺陷報(bào)告。
? ? ? ??直到昨天,發(fā)現(xiàn)軟件產(chǎn)品的有個(gè)頁(yè)面不符合我?guī)в袧嶑钡膶徝?#xff0c;小伙伴們慫恿我提交一條PR,我才去打開(kāi)久違了的JIRA首頁(yè)。沒(méi)想到JIRA不給力,點(diǎn)登錄后圓圈轉(zhuǎn)啊轉(zhuǎn)啊,就是不出來(lái)工作臺(tái)。還不給面子,報(bào)告賬號(hào)密碼錯(cuò)。換Chrome瀏? ? ? ??覽器登錄,還是賬號(hào)、密碼錯(cuò)。我的賬號(hào)、密碼是記在電子本本上的,排除人為因素,僅僅拷貝是不可能出錯(cuò)的。
? ? ? ??那個(gè)無(wú)限旋轉(zhuǎn)的圓圈,一點(diǎn)點(diǎn)消磨我的耐心。圓圈能不能求得圓滿,以至于懷疑人生。哈哈。
? ? ? ??此路不通,能否擇歧路而行?用安全郵箱修改JIRA密碼后,再登錄圓圈消失了,正常登錄進(jìn)去。然后,一波未平一波又起,新建PR頁(yè)面,出現(xiàn)白屏幾分鐘無(wú)響應(yīng)。
? ? ? ??此間不明一定有暗鬼。
? ? ? ??小伙伴們的無(wú)助和我的切膚之痛,激發(fā)了我的好奇心和正義感。
? ? ? ??明知山有虎,偏向虎山行。我不入地獄誰(shuí)入地獄。
? ? ? ??人不可雀語(yǔ),語(yǔ)雀愿助人。語(yǔ)雀耳語(yǔ)于我,告知JIRA的賬號(hào)密碼和訪問(wèn)路徑。JIRA服務(wù)器架設(shè)在阿里云數(shù)據(jù)中心,云端SSH直連通道關(guān)閉,只能用堡壘主機(jī)作跳板二次登錄才能訪問(wèn)JIRA服務(wù)器。架設(shè)JIRA的人士用心于安全可謂良苦。
前奏有點(diǎn)慢節(jié)奏,不過(guò)某國(guó)大片不經(jīng)常是這樣的開(kāi)頭的嗎,平靜的生活危機(jī)四伏。
?
2.2?初探噬心獸
? ? ? ??系統(tǒng)響應(yīng)慢,習(xí)慣性地先看系統(tǒng)資源利用情況。輸入top命令,一看嚇一跳,有一個(gè)sd-pam進(jìn)程占用CPU接近400%。
?
圖?JIRA服務(wù)器系統(tǒng)資源利用情況
??? ? ? ??輸入htop命令進(jìn)一步查看詳情。
?
圖?JIRA服務(wù)器系統(tǒng)資源利用詳情?
? ? ? ??從詳情頁(yè)可見(jiàn),這臺(tái)云服務(wù)器一共有4個(gè)CPU核心,4個(gè)核心利用率全是100%。可憐的JIRA(Java)進(jìn)程擠到不知道哪個(gè)犄角旮旯里去了,分配的CPU連1%都不到,難怪JIRA會(huì)慢得像蝸牛。
CPU利用率排在前5位(1+4)的進(jìn)程無(wú)一例外是sd-pam,第1個(gè)進(jìn)程CPU利用率是396%,緊接著4個(gè)進(jìn)程CPU利用率在99%左右。
? ? ? ??大家可能會(huì)問(wèn),4個(gè)核心的主機(jī),5個(gè)進(jìn)程CPU利用率加起來(lái)將近800%,怎么像8個(gè)核心呢?
? ? ? ??Linux是多進(jìn)程多線程的操作系統(tǒng),以進(jìn)程模擬線程,5個(gè)進(jìn)程ID(PID),其實(shí)只有一個(gè)主進(jìn)程,其余4個(gè)是進(jìn)程模擬出來(lái)的線程,從屬于主進(jìn)程,4個(gè)線程的CPU利用率合計(jì)等于第1個(gè)線程的CPU利用率396%,不要重復(fù)計(jì)算。
? ? ? ??sd-pam進(jìn)程像瘋狂的野獸吞噬著CPU。去研發(fā)大群里詢問(wèn),沒(méi)有人能說(shuō)清楚sd-pam進(jìn)程是什么來(lái)頭。疑云驟起,關(guān)注點(diǎn)向sd-pam進(jìn)程聚焦。
2.3?舉手解內(nèi)困
? ? ? ??提交PR還得仰仗JIRA服務(wù),JIRA服務(wù)是運(yùn)行在Docker容器內(nèi)的。登錄到JIRA容器,查看Java虛擬機(jī)參數(shù),堆空間最大可用缺省值是768MB,對(duì)于JIRA服務(wù)來(lái)說(shuō)顯然偏低。而云服務(wù)器16GB內(nèi)存還有10GB以上的空閑,閑著也是閑著,堆空間最大可用值擬修改為2GB。因?yàn)檫\(yùn)行環(huán)境和文件權(quán)限問(wèn)題,在容器內(nèi)不好修改文件,所以用docker cp命令把環(huán)境設(shè)置文件setenv.sh拷貝到宿主機(jī),修改后拷貝回JIRA容器。
? ? ? ??在大群里喊一嗓子,要重啟JIRA服務(wù)了,沒(méi)人理,過(guò)幾分鐘就reboot云服務(wù)器了。
? ? ? ??重啟后,JIRA服務(wù)的配置會(huì)生效,JVM堆空間會(huì)擴(kuò)大,對(duì)改善JIRA服務(wù)會(huì)有幫助。我也想看看云服務(wù)器重啟后,sd-pam進(jìn)程會(huì)不會(huì)還在。
? ? ? ??修改JIRA配置與黑客對(duì)戰(zhàn)沒(méi)啥關(guān)系,不過(guò)是舉手解JIRA之困境。
?
3、循跡清木馬
3.1?初識(shí)兩點(diǎn)疑
? ? ? ??重啟云服務(wù)器后,sd-pam進(jìn)程依然頑固地存在,撒著歡一樣把CPU利用率拱到滿格400%。
? ? ? ??“你來(lái)或不來(lái)我都在這里,不多不少,4個(gè)CPU全是我的菜。” 清哥哥感覺(jué)被挑釁了,看來(lái)得好好伺候這位爺了。
? ? ? ??思緒開(kāi)始往木馬、蠕蟲(chóng)方向去想了。但凡木馬都不是孤立的,要與外界聯(lián)系,云服務(wù)器聯(lián)系外界唯一的通道是網(wǎng)絡(luò)通信。我想看看sd-pam都聯(lián)系了哪些網(wǎng)絡(luò)地址。實(shí)用工具lsof能查看進(jìn)程打開(kāi)的所有文件描述符。文件描述符有點(diǎn)抽象,但是說(shuō)建立的TCP連接、打開(kāi)的文件/目錄、建立的管道都是文件描述符,就不難理解了。而進(jìn)程打開(kāi)的文件和建立的TCP連接正是我想知道的,以后有妙用。
? ? ? ??在CentOS上,缺省地沒(méi)有安裝實(shí)用命令lsof,通過(guò)yum自動(dòng)下載安裝。
1 yum install -y lsof? ? ? ? 安裝好以后迫不及待想看看sd-pam都干了啥。輸入lsof命令,帶參數(shù)-p PID,PID是進(jìn)程ID。
1 # lsof -p 11320?
圖?sd-pam進(jìn)程打開(kāi)的文件描述符
? ? ? ??分析命令輸出,發(fā)現(xiàn)兩個(gè)疑點(diǎn):
? ? ? ??第一個(gè)疑點(diǎn)是被刪除的文件:/var/tmp/dbus/.sd-pam/sd-pam(deleted)。
? ? ? ??第二個(gè)疑點(diǎn)是從本機(jī)連接到未知遠(yuǎn)端IP的TCP連接:?jira-wiki-nexus:55916->128.199.136.211:http。
3.2?淺析外連接
? ? ? ??連接外網(wǎng)的TCP連接很常見(jiàn),先從第二個(gè)未知TCP連接下手。這個(gè)TCP連接指向HTTP端口,用瀏覽器打開(kāi)網(wǎng)址,頁(yè)面顯示Mining Proxy Online。Mining,不是Mine,不就是挖礦嗎?它自我暴露了。
?
?? ? ? ??換一個(gè)Google?Chrome訪問(wèn)網(wǎng)址看看,輸出還是Mining Proxy Online。
?
? ? ? ??再試一試curl命令,都說(shuō)在挖礦,很誠(chéng)實(shí)的樣子。
? ? ? ??上午懟黑客時(shí),并沒(méi)有注意到Mining這個(gè)詞,只是猜測(cè)可能是挖礦,要不然找個(gè)“肉雞”干嘛呢?
? ? ? ??百度一下,看看IP來(lái)自何方。百度雖然有很多槽點(diǎn),但是引入的IP查詢工具還是實(shí)用的。查詢結(jié)果顯示遠(yuǎn)端IP來(lái)自新加坡,是部署在海外的主機(jī)。而重啟主機(jī)前的一次lsof顯示,遠(yuǎn)端IP來(lái)自美國(guó)。之后,殺死過(guò)sd-pam不下十次,它又頑固地出現(xiàn),穩(wěn)定地連接這個(gè)新加坡IP地址。
?
? ? ? ??接著,我想知道進(jìn)程sd-pam的可執(zhí)行程序藏身在什么地方。用了find命令去找它,執(zhí)行時(shí)間太長(zhǎng),一時(shí)沒(méi)耐住性子,ctrl+c掐斷了。
? ? ? ??好吧,先放過(guò)它。
?
3.3?調(diào)試失蹤客
? ? ? ??進(jìn)程sd-pam是可執(zhí)行的,那么就可以用gdb來(lái)跟蹤調(diào)試,深入內(nèi)部是不是可以窺探內(nèi)幕。
? ? ? ??CentOS缺省也沒(méi)有安裝程開(kāi)源調(diào)試工具gdb,運(yùn)行yum命令自動(dòng)下載、安裝gdb。
1 # yum install -y gdb? ? ? ??安裝好以后,啟動(dòng)gdb,然后輸入attach PID(PID需要替換為實(shí)際進(jìn)程號(hào)),觸碰sd-pam進(jìn)程并掛載到gdb調(diào)試環(huán)境。輸出顯示/var/tmp/dbus/.sd-pam/sd-pam(deleted),該進(jìn)程的可執(zhí)行文件不存在。
?
? ? ? ??消失的可執(zhí)行程序,難道是揮刀刪掉自己了嗎?很詭異的現(xiàn)象。正常情況下,從可執(zhí)行文件啟動(dòng)進(jìn)程后,可執(zhí)行文件依然存在原處。因?yàn)椴僮飨到y(tǒng)創(chuàng)建進(jìn)程時(shí),未必完全加載可執(zhí)行文件,可能分步加載,運(yùn)行時(shí)仍可能從可執(zhí)行文件讀數(shù)據(jù)段。進(jìn)程能否刪除啟動(dòng)的可執(zhí)行文件?此處存疑。
? ? ? ??后續(xù)分析會(huì)揭露可執(zhí)行文件消失的真相。
? ? ? ??因?yàn)橄胍M快定位故障、解決問(wèn)題,gdb調(diào)試暫告一段落。
? ? ? ??消失的可執(zhí)行文件意味著sd-pam進(jìn)程的主人不希望可執(zhí)行文件被發(fā)現(xiàn),那么可執(zhí)行文件可能隱藏著不為人知的秘密。sd-pam是黑客進(jìn)程的疑慮進(jìn)一步加重。
3.4?解密怪腳本
? ? ? ??通過(guò)百度或谷歌搜索關(guān)鍵字sd-pam,所得搜索結(jié)果很少,看起來(lái)有關(guān)聯(lián)的搜索結(jié)果不過(guò)區(qū)區(qū)兩三條,點(diǎn)進(jìn)去看詳情也毫不相干。如果黑客攻擊一說(shuō)成立的話,那么程序文件名是個(gè)性化量身定制的,同樣的攻擊程序在別的受攻擊服務(wù)器,可? ? ? ??能會(huì)使用別的程序文件名。或者,也許這個(gè)攻擊程序剛出現(xiàn),沒(méi)有形成規(guī)模和氣候,所以網(wǎng)上報(bào)告的信息較少。
? ? ? ??可執(zhí)行程序位于目錄/var/tmp/dbus/.sd-pam/,這個(gè)目錄有兩個(gè)疑點(diǎn):可執(zhí)行目錄包含tmp,在Windows安裝程序時(shí)很常見(jiàn),Linux?系統(tǒng)很少見(jiàn);子目錄.sd-pam是隱藏目錄,命令ls -a才能顯示出來(lái),ls是看不出來(lái)的。目錄的兩個(gè)疑點(diǎn)都指向,sd-pam程序的主人試圖掩蓋什么,不想讓所寄居的云服務(wù)器的管理人員發(fā)現(xiàn)。
? ? ? ??嘗試進(jìn)入目錄/var/tmp/dbus,有了新的發(fā)現(xiàn):
1 # cd /var/tmp/dbus 2 3 # ls -ltra 4 5 # more sd-pam? ? ? ? 居然看到了sd-pam,不過(guò)sd-pam是一小段Shell腳本,用more命令查看文件內(nèi)容:
?
? ? ? ??這個(gè)腳本做了4件事:
? ? ? ??S1、創(chuàng)建隱藏子目錄.sd-pam。子目錄與前面發(fā)現(xiàn)的可疑路徑吻合。
? ? ? ??S2、復(fù)制文件x86_64到隱藏子目錄.sd-pam,并改名為sd-pam。與前面發(fā)現(xiàn)消失的可執(zhí)行文件完全一致。
? ? ? ??S3、啟動(dòng)新復(fù)制的sd-pam程序,帶有參數(shù)-h sd-pam -c。懷疑是以父子進(jìn)程監(jiān)控的方式啟動(dòng):萬(wàn)一子進(jìn)程死亡,父進(jìn)程依然能fork出新的子進(jìn)程。這樣大大增加sd-pam程序存活的幾率。
? ? ? ??S4、刪除S1創(chuàng)建的子目錄.sd-pam,連同子目錄下可執(zhí)行文件sd-pam也一并刪除。這就解釋了前面的謎團(tuán):sd-pam進(jìn)程存在,而進(jìn)程的可執(zhí)行程序文件卻神秘地消失了。因?yàn)槟_本sd-pam是以root用戶身份運(yùn)行的,刪除jira用戶運(yùn)行進(jìn)程的可執(zhí)行文件毫無(wú)壓力,無(wú)需提權(quán)。雖無(wú)根,仍運(yùn)行。
? ? ? ??注意:這里的sd-pam有兩個(gè)同名版本:一個(gè)是Shell腳本sd-pam;另一個(gè)是可執(zhí)行文件sd-pam,由可執(zhí)行文件x86_64復(fù)制、改名而來(lái),不能混淆。
x86_64適用于64位的X86架構(gòu)芯片,可以想象該程序可能還有x86(32位X86架構(gòu)芯片)、ARM32、ARM64和SPARC64等多種版本。
3.5?斬?cái)酂o(wú)形手
? ? ? ??前面提到,JIRA云服務(wù)器重新啟動(dòng)后,sd-pam進(jìn)程像幽靈一樣存在,揮之不去,牢牢占據(jù)CPU排行榜的首位。應(yīng)該是有某一種機(jī)制能夠自動(dòng)啟動(dòng)sd-pam。
? ? ? ??已知的第一種機(jī)制是Linux后臺(tái)服務(wù)管理,在系統(tǒng)重新引導(dǎo)后會(huì)自動(dòng)運(yùn)行,這是Linux內(nèi)部機(jī)制,潛伏的進(jìn)程只要不被發(fā)現(xiàn),完全可以長(zhǎng)期潛伏、定期送出有價(jià)值的信息。
? ? ? ??第二種機(jī)制就要復(fù)雜得多,來(lái)自互聯(lián)網(wǎng)的漏洞掃描程序,定時(shí)掃描云服務(wù)器的漏洞,發(fā)現(xiàn)漏洞后重新植入木馬。第二種機(jī)制容易受到網(wǎng)絡(luò)安全屏障的阻隔,頻繁的掃描也容易被網(wǎng)絡(luò)安全嗅探器發(fā)現(xiàn),主要的云計(jì)算中心都提供免費(fèi)或收費(fèi)的服務(wù),嗅探、發(fā)現(xiàn)漏洞和外部攻擊。所以第二種機(jī)制/方法,不適合監(jiān)控已植入木馬云服務(wù)器,更適合于初次尋找漏洞,或者地毯式搜索云服務(wù)器漏洞。
? ? ? ??在不重啟云服務(wù)器時(shí),直接殺死sd-pam進(jìn)程能快速的停止木馬進(jìn)程。Linux命令kill傳遞信號(hào)參數(shù)SIGKILL或者9能立即殺死進(jìn)程。
1 # kill -9 11320? ? ? ??殺死進(jìn)程后,CPU利用率立即下降到個(gè)位數(shù)。遺憾的是一兩分鐘后,sd-pam幽靈又出現(xiàn)在top命令輸出榜首。
? ? ? ??一兩分鐘內(nèi)重啟進(jìn)程,Linux Service服務(wù)監(jiān)控管理能做到,但又不符合其行為方式。因?yàn)闅⑺纒d-pam進(jìn)程后,服務(wù)監(jiān)控進(jìn)程立即能感知到,不會(huì)等待,而會(huì)立即重啟新的sd-pam進(jìn)程。
? ? ? ??有另一種Linux定時(shí)任務(wù)機(jī)制,能做到精準(zhǔn)到時(shí)分,重啟后臺(tái)任務(wù)。Linux后臺(tái)服務(wù)crond,定時(shí)被喚醒,按照crontab表定義的時(shí)間表啟動(dòng)后臺(tái)任務(wù)。
? ? ? ??先看看crontab的時(shí)間表:
1 # crontab -l 2 3 … 4 5 * * * * * /var/tmp/dbus/./x86_64圖?Crontab定時(shí)啟動(dòng)、檢查進(jìn)程sd-pam
? ? ? ??又發(fā)現(xiàn)了x86_64的蹤跡。前面說(shuō)到,x86_64就是sd-pam的化身和前身,sd-pam是x86_64的拷貝。自動(dòng)忽略crontab表的第一條時(shí)間任務(wù)。
? ? ? ??定時(shí)任務(wù)crontab的任務(wù)項(xiàng)由五個(gè)時(shí)間列和一個(gè)命令列組成。五個(gè)時(shí)間列分別是分鐘、小時(shí)、星期、日、月,如果是數(shù)字表示具體時(shí)點(diǎn),如果是*表示所有的時(shí)間點(diǎn)。
? ? ? ??五個(gè)時(shí)間列都是*,表示每月每日每星期每時(shí)每分,都會(huì)運(yùn)行命令列的程序。翻譯過(guò)來(lái)就是:7*24小時(shí)的每一分每一秒都在運(yùn)行,榨干云服務(wù)器的每一分計(jì)算力。夠狠的吧,比996厲害吧,669也不過(guò)如此。
? ? ? ??x86_64能干什么,我有點(diǎn)好奇,忍不住手欠,運(yùn)行了一把。反正CPU已經(jīng)4個(gè)100了,也不會(huì)更壞了。
1 # x86_64? ? ? ??提示程序已經(jīng)在運(yùn)行。x86_64有自我監(jiān)控的功能,只運(yùn)行一份sd-pam進(jìn)程副本。Crontab里的x86_64應(yīng)該就是監(jiān)控sd-pam存活狀態(tài)的幕后推手。
? ? ? ??先在最前面添加#號(hào),注釋掉crontab定時(shí)任務(wù)。斬?cái)嘁浑p幕后黑手,那么木馬程序sd-pam就會(huì)像孤兒一樣。再殺了孤兒sd-pam,預(yù)期木馬就會(huì)清除了。
1 # crontab -e? ? ? ??編輯并保存crontab,立即生效。
? ? ? ??然后,執(zhí)行kill -9 PID,果然sd-pam幽靈消失了好一會(huì)兒。好一會(huì)兒是多久,沒(méi)讀秒,沒(méi)數(shù)數(shù),我也不知道是多久。哈哈。
? ? ? ??在徹底擊敗敵人之前,歡樂(lè)的日子總是短暫的。過(guò)了好一會(huì)兒,sd-pam幽靈又出現(xiàn)了。有些氣餒了,怎么辦?不過(guò),還沒(méi)有動(dòng)絕殺之前,怎么能輕言失敗呢?!
?
3.6?拔除木馬根
? ? ? ??回顧一下,不管是Linux服務(wù)管理還是Linux?Crontab,都要調(diào)用/var/tmp/dbus/目錄下的程序,那么讓它們找不到這個(gè)目錄,是不是它們就抓瞎了呢?說(shuō)干就干,斬草要除根,dbus就是sd-pam的根。
1 # cd /var/tmp 2 3 # mv dbus dbus_bak 4 5 # kill -9 PID ## PID替換為sd-pam進(jìn)程的進(jìn)程號(hào)? ? ? ??這里沒(méi)有直接刪除dbus目錄,而是給目錄改名,使之找不到dbus目錄,與刪除目錄效果是一樣的。黑客攻擊現(xiàn)場(chǎng)留下活證據(jù),可作為呈堂證供。哈哈。
? ? ? ??如此操作之后,幽靈進(jìn)程再也沒(méi)有出現(xiàn)過(guò)。又重啟了云服務(wù)器,幽靈進(jìn)程也沒(méi)有出現(xiàn)了,空閑時(shí)CPU利用率穩(wěn)定在個(gè)位數(shù)。
?
圖?清除木馬后云服務(wù)器進(jìn)程列表
? ? ? ??從瀏覽器點(diǎn)擊JIRA控制臺(tái),在后臺(tái)監(jiān)控云服務(wù)器,看著JIRA(Java)進(jìn)程歡快地吞噬CPU,我也長(zhǎng)舒了一口,心里的石頭落地了。
? ? ? ??木馬程序是被根除了,但是黑客是怎么攻進(jìn)來(lái)的,云服務(wù)器漏洞在哪里,黑客會(huì)不會(huì)輕車熟路開(kāi)始下一波攻擊,我們一無(wú)所知。如果您對(duì)此感興趣,請(qǐng)看下一節(jié)。
?
? ? ? ??下文預(yù)告:
? ? ? ??4、探秘黑客蹤
? ? ? ??4.1 寓言公寓樓
? ? ? ??4.2 查詢?cè)L客志
? ? ? ??4.3 孜孜找不同
? ? ? ??4.4 驚現(xiàn)無(wú)秘碼
? ? ? ??4.5 緊鎖失密門(mén)
? ? ? ??4.6 探尋黑客蹤
? ? ? ??4.7 解讀黑客術(shù)
? ? ? ??4.8 還原入侵圖
? ? ? ??5、修復(fù)云主機(jī)
? ? ? ??6、安全警示鐘
? ? ? ??7、詳解木馬源
? ? ? ??8、小結(jié)
?
轉(zhuǎn)載于:https://www.cnblogs.com/solomonxu/p/10889928.html
總結(jié)
以上是生活随笔為你收集整理的云服务器反黑客入侵攻防实录(一)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: unity打包的windows程序运行权
- 下一篇: RouterOS配置【网络工程】(保姆级