前言
昨晚七點多左右,阿里雲發來報警,說我的伺服器有安全告警,由於這個伺服器是我自己平時玩的,並且當時電腦不在身邊,也就不怎麼在意,直接用手機將伺服器關機,打算等待第二天看看是怎麼回事,經過排查,將問題解決,以此記錄一下。
問題排查
(由於當時處理問題忘記截圖,所以這裡僅僅進行文字描述)
從報警能夠看到出現異常的程式路徑為crond,瞭解到是由於定時任務中出現了問題,登入伺服器執行ps -ef命令看到其中的很多程式和阿里雲報錯內容相似,執行tail -200f /var/log/cron命令檢視定時任務日誌,又發現了很多有關未知地址的日誌,再次執行crontab -l檢視定時任務中的任務配置,發現了很多我不清楚的異常定時任務,其中有一個是關於redis的,於是想到前幾天剛剛裝了一個redis供自己測試使用,並沒有進行詳細配置包括密碼,可能是由於redis導致被攻擊,瞭解這些,開始著手解決問題。
問題解決
- 將redis配置複雜密碼,並不再以root使用者進行開啟。
- 執行
crontab -e開啟定時任務任務配置,將其中未知任務進行清空。 - 重啟伺服器或者將異常的的程式殺掉。
結果檢查
- 執行
ps -ef命令檢視可疑程式是否存在。 - 執行
tail -200f /var/log/cron命令,檢查日誌情況。 - 伺服器靜待一段時間,重新整理阿里雲控制檯,找到安全告警,檢視告警最新時間是否停止進行重新整理,並不再傳送告警簡訊。
結語
這篇文章主要分享一下我的解決過程,由於作者對這方面不是很瞭解,過程中難免可能會有錯誤和疏漏,如有問題還希望能夠指出。