事件描述:阿里云报警 ——检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击

源IP: xx.xx.xx.xx 源PORT: 111 目的PORT: 963

攻击类型: SunRPC反射攻击

扫描IP频数: 3

扫描TCP包频数: 11480

持续时间(分钟): 55

事件说明: 检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击。

解决方案: 自查ECS中19、53、123、161、1900 UDP端口是否处于监听状态,若开启就关闭

自查步骤:

netstat -anp|grep :19    无

netstat -anp|grep :53    无

netstat -anp|grep :123    无

netstat -anp|grep :161    无

netstat -anp|grep :1900    无

再查看111端口

netstat -anp|grep :

tcp               0.0.0.0:                 0.0.0.0:*                   LISTEN      /portmap        

tcp               112.124.53.48:           60.191.29.20:          ESTABLISHED /portmap        

tcp               112.124.53.48:           139.196.13.106:        ESTABLISHED /portmap                

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           120.26.55.211:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

tcp               112.124.53.48:           122.224.153.109:       ESTABLISHED /portmap        

tcp               112.124.53.48:           123.59.52.206:         ESTABLISHED /portmap        

udp               0.0.0.0:111                 0.0.0.0:*                               /portmap

[root@AY1310231051059094d8Z server]# kill -9 1953

[root@*****server]# netstat -anp|grep :111

以上只是临时解决办法,实际生产还需要通过指定防火墙规则来过滤才行,毕竟直接停服务就太暴力了,有时候可能会影响服务器正常业务。

如果业务需要启动该UDP服务,可以启动并指定防火墙规则来过滤,添加禁止所有规则,添加允许信任源IP

iptables -I INPUT -p udp -m multiport --dport ,,,, -j DROP

iptables -I INPUT -p udp -m multiport --sport ,,,, -j DROP

iptables -I OUTPUT -p udp -m multiport --dport ,,,, -j DROP

iptables -I OUTPUT -p udp -m multiport --sport ,,,, -j DROP

注:之所以没有禁止53端口,是因为我用的阿里云服务器,其中安骑士和云监控需要53端口才能连接检测,否则会失败。

附:linux系统常见木马清理命令

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

chattr -i /usr/bin/.swhd

rm -f /usr/bin/.swhd

rm -f -r /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

chattr -i /usr/bin/.sshd && rm -f /usr/bin/.sshd && chattr -i /usr/bin/.swhd && rm -f /usr/bin/.swhd && rm -f -r /usr/bin/bsd-port && cp /usr/bin/dpkgd/ps /bin/ps && cp /usr/bin/dpkgd/netstat /bin/netstat && cp /usr/bin/dpkgd/lsof /usr/sbin/lsof && cp /usr/bin/dpkgd/ss /usr/sbin/ss && rm -r -f /root/.ssh && rm -r -f /usr/bin/bsd-port && find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -

记一次阿里云服务器被用作DDOS攻击肉鸡的更多相关文章

  1. 阿里云服务器挖矿脚本bioset攻击解决

    1.问题出现 一大早刚起床,阿里云就给我发了一条短信,提醒我服务器出现紧急安全事件:挖矿程序 阿里云“贴心”地提供了解决方法,不过需要购买企业版的安全服务,本着能自己动手就不花钱原则自己搞了起来 于是 ...

  2. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  3. 【转载】网站服务器运维记实:阿里云1核2G突发性能t5服务器突然变得卡顿

    阿里云突发性能服务器1核2G的t5服务器在高资源利用率的情况下运行一段时间后,发现服务器反应变得很慢,通过windows远程桌面连接上服务器后查看到CPU性能一直在90%到100%之间,无法降下来.前 ...

  4. 阿里云服务器上配置并使用: PHP + Redis + Mysql 从配置到使用

    (原创出处为本博客,http://www.cnblogs.com/linguanh/) 目录: 一,下载 二,解压 三,配置与启动 四,测试 Redis 五,配置 phpRedis 扩展 六,综合测试 ...

  5. 在阿里云服务器上配置CentOS+Nginx+Python+Flask环境

    在阿里云服务器上配置CentOS+Nginx+Python+Flask环境 项目运行环境 阿里云(单核CPU, 1G内存, Ubuntu 14.04 x64 带宽1Mbps), 具体购买和ssh连接阿 ...

  6. 如何把php项目部署到阿里云服务器window server2012__含公网ip访问时jquery/ajax失效解决办法

    记一次蛋疼的折腾. 弄了一晚上最后发觉是360浏览器的问题,换个浏览器就好了.垃圾360用什么IE7文档模式.导致界面和功能失效. 建议大家测试的时候用firefox或者chrome. 项目部署到服务 ...

  7. 阿里云服务器CentOS7.5安装RabbitMQ

    RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件(亦称面向消息的中间件).RabbitMQ服务器是用Erlang语言编写的,而集群和故障转移是构建在开放电信平台框架上的. 为什么 ...

  8. xshell连接不上阿里云服务器Could not connect to 'ip' (port 22): Connection failed.解决过程

    记一次xshell阿里云服务器突然连接不上的解决办法: 1, 确认阿里云服务器安全组出入都有22,百度出来都说的这个和ip拦截设置,以防万一都设置了:但楼主设置后,还是连不上服务器: 只好下一步 2, ...

  9. 部署flask到阿里云服务器ECS

    比较难的一点是:部署到云服务器上之后,通过公网没法访问. 这就要说回道 本地开发时的一个小细节:通过http://127.0.0.1:5000是可以访问的,但通过http://[本地ip]:5000是 ...

随机推荐

  1. centos7 开机启动服务链接说明

    环境:centos7 创建的开机启动的链接地址: /etc/systemd/system/multi-user.target.wants/ 如: [root@tiaobanji system]# ll ...

  2. 小a与黄金街道 (欧拉函数)

    题意:a, b两个人在长度为n的一维数轴上(从1开始).a在1,b在n.每个人以1m/s的速度相向而行,则每一时刻存在坐标x,y,当cgd(n, x)==1,gcd(n, y)==1时,t1=k^x, ...

  3. 【转】Android-Accessibility(辅助功能/无障碍,自动安装APP)

    参考: http://www.infoq.com/cn/articles/android-accessibility-installing https://developer.android.com/ ...

  4. CF341D Iahub and Xors

    CF341D Iahub and Xors 给定一个 \(n\times n\) 的矩阵,平面异或,求平面异或和 \((n\leq10^3,\ m\leq10^5)\) 树状数组 这里主要是记录一下板 ...

  5. IDEA+'mvn' 不是内部或外部命令

    问题描述: 提示'mvn' 不是内部或外部命令,也不是可运行的程序或批处理文件. 或者提示 The JAVA_HOME environment variable is not defined corr ...

  6. 4939-Agent2-洛谷

    传送门 emm... 这次没有原题了 (因为我懒) 就是一道很简单的树状数组 真的很简单很简单 只用到了一点点的差分 注意注意: 只用树状数组,不用差分会t掉的 所以.. 我不仅t了 还wa了 emm ...

  7. 小米路由器Mesh,信号有多牛?

    导读 现如今随着居住面积的增加,以前可能住在一室一厅,如今二室一厅.三室一厅都有相对应的户型,有的小伙伴甚至住上了越层,这些户型对于路由器来说非常吃力的,毕竟单台路由器的覆盖范围有限.可能大多数人会在 ...

  8. 【开源】微信小程序、小游戏以及 Web 通用 Canvas 渲染引擎 - Cax

    Cax 小程序.小游戏以及 Web 通用 Canvas 渲染引擎 Github → https://github.com/dntzhang/cax 点我看看 DEMO 小程序 DEMO 正在审核中敬请 ...

  9. Sparse Principal Component Analysis via Rotation and Truncation

    目录 对以往一些SPCA算法复杂度的总结 Notation 论文概述 原始问题 问题的变种 算法 固定\(X\),计算\(R\) 固定\(R\),求解\(X\) (\(Z =VR^{\mathrm{T ...

  10. Python—包介绍

    包(Package) 当你的模块文件越来越多,就需要对模块文件进行划分,比如把负责跟数据库交互的都放一个文件夹,把与页面交互相关的放一个文件夹, . └── my_proj ├── crm #代码目录 ...