前言
最近服务器被黑客做了肉鸡,前后已经折腾了两次(码农的黑客反击战,码农的黑客反击战(二)),查杀病毒文件,修改服务器默认配置,经过观察发现,依然没有完全清除干净。具体表现为服务器重启之后过几个小时就会连接不上,阿里云会发送Ping失败异常短信。
【阿里云】您监控ping2_1*4229:PING丢包率,地址xxxxxxxx,17:15在所有节点发生告警,值为100%,请登录云监控平台查看
战败
通过阿里云控制重启之后,SSH又可以登录,在系统里查了半天,再次使用ClamAV杀毒软件扫描,删除了一些被感染的文件之后(没来的及截图),系统彻底异常了,重启之后SSH连接不上了。至此,只能宣布黑客“反击战”(ps:其实算不上反击,只是修复:))失败。
重来
服务器异常连接不上了,但服务器还有很多数据需要回复。后来通过阿里云控制台的工单系统和阿里售后工程师交流,阿里工程师提供了以下解决方案。
按照阿里工程师的方案,手动创建了快照,重新初始化磁盘后,系统恢复正常。然后阿里工程师帮助将快照挂载到系统,从快照文件中复制了原来的数据进行恢复,数据恢复正常。在挂载系统快照的时候,没有挂载成功,后来挂载到了其他服务器上。
反思
这次是第一次遇到服务器被黑的情况,经验不足,也没有相关反黑客经验和手段。虽然作为一个码农,内心当中充满一个高深莫测,一台电脑掌控天下的黑客梦,更多时候也只是看看电影想想而已,惭愧惭愧。
这次也反映自己的知识弱点(对linux系统不熟悉,只会常用应用),也反映了在服务器的一些不规范的使用(运维弱),需要反思学习和注意。知耻而后勇,亡羊补牢吧,新恢复的系统,做了一些安全上的设置和维护,比如升级和安装系统补丁,设置防火墙规则,修改一些软件默认设置(尤其是 有漏洞的软件,比如redis无秘访问,还在外网),重新梳理和规划了服务器分布,能不开外网的情况都不开,需要外网用代理等。
最后
这次也不是一次成功反击,写下来发布出来,一是作为记录,二是如果别的遇到类似情况的人看到,或许能给一些参考价值。结束。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。