前言最近服务器被黑成bot,前后折腾了两次(码农逆袭,码农逆袭(二)),查杀病毒文件,修改服务器的默认配置。经过观察,发现还是没有完全清除。具体表现是服务器重启后几个小时后,会连接失败,阿里云会发Ping不通的异常信息。【阿里云】你监控ping2_1*4229:PING丢包率,地址xxxxxxxx,17点15分所有节点告警,值为100%。请登录云监控平台查看失败情况。通过阿里云控制重启后,SSH又可以登录了,查了半天系统,用ClamAV杀毒软件再次扫描,删除了一些被感染的文件后(没来的和截图),系统完全不正常,重启后无法连接SSH连接。至此,只能宣告黑客的“反击”(ps:算不上真正的反击,只是修复:))失败了。服务器异常,无法再次连接,但服务器仍有大量数据需要回复。后来通过阿里云控制台的工单系统,与阿里售后工程师进行了沟通,阿里工程师给出了如下解决方案。按照阿里工程师的计划,手动创建快照,重新初始化磁盘后,系统恢复正常。随后阿里工程师帮忙将快照挂载到系统中,从快照文件中复制原始数据进行恢复,数据恢复正常。挂载系统快照时,挂载不成功,后来挂载到其他服务器上。反思一下,服务器被黑还是第一次,经验不足,没有相关的反黑经验和手段。虽然作为一个码农,心中充满了高深莫测的用电脑控制世界的黑客梦想,但大多数时候只是看电影想想,惭愧。这次也反映了自己的知识薄弱(对linux系统不熟悉,只会常用的应用),也反映了服务器的一些不规范的使用(运维薄弱),需要反思、学习和关注。知耻而后勇,往事重修。刚恢复的系统做了一些安全设置和维护,比如升级和安装系统补丁,设置防火墙规则,修改一些软件默认设置(特别是有漏洞的软件,比如redis。密访,还在外网),重新整理规划了服务器的分布,实在不行就不开外网,需要外网代理。最终,这一次反击并没有成功。我写下来发表,一来做个记录,二来其他遇到类似情况的人看到了,说不定有一定的参考价值。结束。
