「吐槽」2021.6.11

1139天前 · 有感 · 753次阅读

吐槽系列-21.6.6

  • 啊,是高考长假哦!加上端午节整整九天
  • 不过作业没少,还更多了,管得还严,真的要命
  • 本周过的还是挺紧张的说,发生了不少事情

SB病毒

事发经过

  • 上周周末搭建一个聊天室,用到了Redis,结果就中毒了
  • 毕竟如果redis配置不当会有一个严重的漏洞,就是一个甚至不需要密码的用户就可以登录
  • 结果估计就是从这个漏洞进的,来了个挖矿病毒,弄得我CPU100%(16个核心占满)
  • 表现就是...我的云盘服务挂了,重启修了一下,病毒还是在的

解决

  • 因为是在上学时间遭到入侵,所以我要处理也只能利用下课时间——这样也是不好的,不要学
  • 第一次遭到入侵,前几天才看过一本书,说控制进程就等于控制Linux
  • 所以我从ps/top入手,发现没有异常,这绝壁是隐藏了自己嘛
  • 找找相关资料,发现这次是篡改了ps和top的源码隐藏了自己,所以我装了个htop
  • 啪的一下!很快啊!十六个占据榜首的进程[kthreaddi]出现了,就是这个sb东西
  • 分析了几天,尝试了killall -9 [kthreaddi]都还是会死灰复燃,主要是有以下几个特性

    • 存在守护进程,使用了cron任务
    • 启动自己之后会删除掉启动文件
  • 大概也就是这样,因为在学校没时间处理,就写了个kill.sh

    • 隔个30s就killall -9 [kthreaddi],因为其守护进程名称是随机的,我也没办法
    • 这样子,我的CPU就一直跳来跳去了
  • 后面,我改了改kill.sh

    • 大概就是每隔30s,还会清空/var/spool/cron/root
  • 最后呢,解决的时候是这样的:

    • 我停掉kill.sh,查看netstat -l中的端口,有一个奇怪的进程占用,kill了那个
    • 看htop找到守护进程(名字奇怪的那个),kill了所有守护进程
    • kill了[kthreaddi],马上再清空/var/spool/cron/root,修改权限为400
  • 因为那个时候没时间,我也没有看效果
  • 后面终于到了放学回家时间,我高兴地发现问题解决了

教训

  • 安装任何软件之前,保证来源并且查询是否存在漏洞
  • 不要用root权限运行,很危险
  • 一定要设置密码
  • 没用的端口立刻关掉

经验差距

事发

  • 上个星期呢,我们班被年级主任训了一顿,理由是:

    • 我们班级晚自习还有人到处走动,而且已经是期末,这些事情早就强调过很多遍了
  • 他一直说了我们20几分钟,但是并不是疯狂地愤怒,而是用一种严肃的态度教育我们
  • 我觉得他说得很好:“雪崩发生的时候,没有一片雪花是无辜的”——指我们考试年级倒数第一是每个人的原因
  • 不得不承认他教训得很好,直接一下子整顿起了我们班的风气

思考

  • 这里呢,我也不想多说,我们的班主任——后面知道这件事情之后,当晚又留了我们20分钟(我倒是没什么关系,本来走的就晚)
  • 她大概是贯彻她的风格吧,就连生气也只是生气而已——“我真是太失望了”“你们不想学马上给我回家去,可以的啊”
  • 诶...作为一名新班主任,她没有去接受别人的意见(即使我早就花了很多时间跟她提意见),只是这样觉得就可以了
  • 她说不要怪科任老师,这都是我们自己的问题——真的没有错,我也没看到谁怪科任老师啊?反倒是她自己反思了自己吗?
  • 接下来两天她的数学课可以说是这么久以来最好的两节,上课很严肃,我也能听得很好
  • 结果第三天就打回原形,马上变得又是个CrazyWomen一样的风格,在课上到处交互...不论与课堂内容有没有关系...
  • 有够有趣,结果她第三天讲的课所收的作业就收到了她自己的评价“怎么学的,感觉自己都白交了”

    • 啊,可不是嘛...看看你的课堂都在干什么?

iftop

  • iftop:在linux下运行的网卡流量监控工具
  • 我现在专门留一个屏幕看着网络流量动向
  • 一旦出现过多的异常连接,马上就断网排除
  • 这几天,只在一天里遇到过两次,后面就没有了
  • 这样我不仅能防止挖矿病毒入侵,还能防止ddos流量,即使止损
  • 不过这样终究是不行的,如果我哪天不在家怎么办,所以还是要写两个智能脚本

    • 一个装在服务器上:检测到异常的过多ip连接,就切断这些ip的连接

      • 因为我服务器用的是NAT,所以理论上只有一个ip(我映射服务器的)会流量比较大,其余都不会
      • 而且除了内网网段可以流量大一点,其余的异常连接都需要稍稍切断
    • 一个装在映射服务器上:检测到流量大,而且表现为过多异常ip连接,ntp,SYN等都直接切断

      • 防止浪费我的流量,浪费我的钱

颓废

  • 这几天又有些颓废了起来,开始play mc了
  • play得有点过,homework每天都很挨着deadline
  • 诶...该停停了
👍 0

吐槽

最后修改于1083天前

评论

贴吧 狗头 原神 小黄脸
收起

贴吧

  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡
  • 贴吧泡泡

狗头

  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头
  • 狗头

原神

  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神
  • 原神

小黄脸

  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  • 小黄脸
  1. 233 1132天前

    怎么说呢
    只要你的网站开着
    就全是漏洞
    所以说
    联系邮箱

    1. Lanzhijiang 801天前

      这话说的,嘛...

  2. Cpointerz 1131天前

    360团队版貌似就挺不错的。至少国内最强就是360,而且性价比和卡巴斯基差不多,在Linux也很难耍流氓

目录

avatar

Lanzhijiang

71

文章数

25

评论数

21

分类