云服务器被入侵记录及防护措施

这次入侵发生在半年前,那时候还没建立CSDN,今天记录一下.

服务器:腾讯云学生机

Centos6.x

1核 1GB 1Mbps

Wordpress最近爆出漏洞，不少用户遭到攻击.

这是发生在我主机上的情况，2月6日接收到一个邮件，问我是否通过在Wordpress上的一个评论，当时有点，之前没有过评价，我就直接通过了，2月6日，我用ssh连接服务器，出现无法连接的情况，我于是重启服务器，还是不行，之后强制重启，这次成功，不过在书命令的时候非常慢，输完之后还要等待一会。没发现异常，之后又出现了ssh无法连接的情况，vnc此时也无法连接，我去看了下最近的CPU记录，如下图

之前是CPU占用100%，直接宕机，当时还是无法连接，我用另一台主机扫描这台服务器，发现了几个未知的端口

之后再次重启，便可以的登录了，于是我设置了一下安全组，关掉了了这几个端口。

本以为问题就这么结束了,我再次ssh登录时，输入命令执行变得非常慢，有时候直接卡死,我执行cd / 后，看到根目录产生了几个异常文件，如下图

通过cmd.n文件 可以看到 此命令关掉了我的防火墙，

然后从一个服务器下载了expl文件并执行，后来证明为linux backdoor gates5

于是我直接将它们删除，当时还没意识到感染很严重。

后来我在/root目录里陆续发现了一些异常文件，我下载了clamav这款杀毒软件，全盘杀了一次毒，卡顿的问题解决。

于是我在全盘搜索了一下 find / -name conf.n

发现在好几个目录里都存在着个文件，还看到一个.getty的文件

我去网上搜索了一下这个文件，发现这就是linux backdoor gates5导致的,服务器已经变成黑客的肉鸡，被植入了DDOS程序。

还有那个conf.n文件是无法删除的，一删除立即会出现

我之前还用过top命令查看过谁占用的进程，

其实这根本没事因为

ps top这些命令早就本替换掉

通过

ll /bin/ps

查看大小，也证实了这一点

文件大于1M。

如果进行彻底的清理 将会非常麻烦 我在杀过毒后问题已经不大，但我然担心还会出现问题，于是备份数据重装系统。

总结

最近Wordpress爆出越权漏洞，我又没有升级，从而导致了这次事件的发生，又想起了Wordpress上的评论，

可能那就是源头，也不一定是吧，如果那条评论我没通过

以下是几点防护措施

1，修改ssh的默认端口

2，禁止root账号登陆

3，新建一个账号(不要用admin之类容易猜到的账号，并设置一个复杂的密码)并让其可以sudo su成root

4，用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉

5，mysql只允许自己登陆，禁掉其它