记一次阿里云服务器被用作DDOS攻击肉鸡-技术教程-456主机测评

事件描述：阿里云报警 ——检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务，黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包，迫使该ECS向受害者发起了UDP DDOS攻击

记一次阿里云服务器被用作DDOS攻击肉鸡

源IP： xx.xx.xx.xx 源PORT： 111 目的PORT： 963

攻击类型： SunRPC反射攻击

扫描IP频数： 3

扫描TCP包频数： 11480

持续时间（分钟）： 55

事件说明：检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务，黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包，迫使该ECS向受害者发起了UDP DDOS攻击。

解决方案：自查ECS中19、53、123、161、1900 UDP端口是否处于监听状态，若开启就关闭

自查步骤：

netstat -anp|grep :19 无

netstat -anp|grep :53 无

netstat -anp|grep :123 无

netstat -anp|grep :161 无

netstat -anp|grep :1900 无

再查看111端口

netstat -anp|grep :111 tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1953/portmap tcp 0 0 112.124.53.48:111 60.191.29.20:44964 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 139.196.13.106:30808 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:54912 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:38893 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 120.26.55.211:36599 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:39363 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:46023 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:57406 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:41479 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:39008 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 122.224.153.109:51125 ESTABLISHED 1953/portmap tcp 0 0 112.124.53.48:111 123.59.52.206:44366 ESTABLISHED 1953/portmap udp 0 0 0.0.0.0:111 0.0.0.0:* 1953/portmap

[root@AY1310231051059094d8Z server]# kill -9 1953

[root@*****server]# netstat -anp|grep :111

以上只是临时解决办法，实际生产还需要通过指定防火墙规则来过滤才行，毕竟直接停服务就太暴力了，有时候可能会影响服务器正常业务。

如果业务需要启动该UDP服务，可以启动并指定防火墙规则来过滤，添加禁止所有规则，添加允许信任源IP

iptables -I INPUT -p udp -m multiport --dport 19,161,111,123,1900 -j DROP iptables -I INPUT -p udp -m multiport --sport 19,161,111,123,1900 -j DROP iptables -I OUTPUT -p udp -m multiport --dport 19,161,111,123,1900 -j DROP iptables -I OUTPUT -p udp -m multiport --sport 19,161,111,123,1900 -j DROP

注：之所以没有禁止53端口，是因为我用的阿里云服务器，其中安骑士和云监控需要53端口才能连接检测，否则会失败。

附：linux系统常见木马清理命令

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

chattr -i /usr/bin/.swhd

rm -f /usr/bin/.swhd

rm -f -r /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss;rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

chattr -i /usr/bin/.sshd && rm -f /usr/bin/.sshd && chattr -i /usr/bin/.swhd && rm -f /usr/bin/.swhd && rm -f -r /usr/bin/bsd-port && cp /usr/bin/dpkgd/ps /bin/ps && cp /usr/bin/dpkgd/netstat /bin/netstat && cp /usr/bin/dpkgd/lsof /usr/sbin/lsof && cp /usr/bin/dpkgd/ss /usr/sbin/ss && rm -r -f /root/.ssh && rm -r -f /usr/bin/bsd-port && find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs kill all -9

海报

海报图正在生成中...

竖版宽版

记一次阿里云服务器被用作DDOS攻击肉鸡

相关推荐

评论抢沙发

互动交流中心

热门文章

快猫云高防云服务器，美国CTG/成都联通/移动/中国香港/美国高防VPS优惠促销

51IDC-美国/香港/日本/韩国/高性价比服务器，全球直连CN2/GIA优质精品线路，优惠进行中，欢迎咨询

热门标签

网站统计