阿里云服务器报警-进程异常行为-访问恶意下载源

前言

昨晚七点多左右,阿里云发来报警,说我的服务器有安全告警,由于这个服务器是我自己平时玩的,并且当时电脑不在身边,也就不怎么在意,直接用手机将服务器关机,打算等待第二天看看是怎么回事,经过排查,将问题解决,以此记录一下。

阿里云服务器报警-进程异常行为-访问恶意下载源_第1张图片 阿里云服务器报警-进程异常行为-访问恶意下载源_第2张图片

问题排查

(由于当时处理问题忘记截图,所以这里仅仅进行文字描述)

从报警能够看到出现异常的进程路径为crond,了解到是由于定时任务中出现了问题,登录服务器执行ps -ef命令看到其中的很多进程和阿里云报错内容相似,执行tail -200f /var/log/cron命令查看定时任务日志,又发现了很多有关未知地址的日志,再次执行crontab -l查看定时任务中的任务配置,发现了很多我不清楚的异常定时任务,其中有一个是关于redis的,于是想到前几天刚刚装了一个redis供自己测试使用,并没有进行详细配置包括密码,可能是由于redis导致被攻击,了解这些,开始着手解决问题。

问题解决

  1. 将redis配置复杂密码,并不再以root用户进行开启。
  2. 执行crontab -e打开定时任务任务配置,将其中未知任务进行清空。
  3. 重启服务器或者将异常的的进程杀掉。

结果检查

  1. 执行ps -ef命令查看可疑进程是否存在。
  2. 执行tail -200f /var/log/cron命令,检查日志情况。
  3. 服务器静待一段时间,刷新阿里云控制台,找到安全告警,查看告警最新时间是否停止进行刷新,并不再发送告警短信。

结语

这篇文章主要分享一下我的解决过程,由于作者对这方面不是很了解,过程中难免可能会有错误和疏漏,如有问题还希望能够指出。

你可能感兴趣的:(Linux,linux,安全)