前言
昨晚七点多左右,阿里云发来报警,说我的服务器有安全告警,由于这个服务器是我自己平时玩的,并且当时电脑不在身边,也就不怎么在意,直接用手机将服务器关机,打算等待第二天看看是怎么回事,经过排查,将问题解决,以此记录一下。
问题排查
(由于当时处理问题忘记截图,所以这里仅仅进行文字描述)
从报警能够看到出现异常的进程路径为crond,了解到是由于定时任务中出现了问题,登录服务器执行ps -ef命令看到其中的很多进程和阿里云报错内容相似,执行tail -200f /var/log/cron命令查看定时任务日志,又发现了很多有关未知地址的日志,再次执行crontab -l查看定时任务中的任务配置,发现了很多我不清楚的异常定时任务,其中有一个是关于redis的,于是想到前几天刚刚装了一个redis供自己测试使用,并没有进行详细配置包括密码,可能是由于redis导致被攻击,了解这些,开始着手解决问题。
问题解决
- 将redis配置复杂密码,并不再以root用户进行开启。
- 执行
crontab -e打开定时任务任务配置,将其中未知任务进行清空。 - 重启服务器或者将异常的的进程杀掉。
结果检查
- 执行
ps -ef命令查看可疑进程是否存在。 - 执行
tail -200f /var/log/cron命令,检查日志情况。 - 服务器静待一段时间,刷新阿里云控制台,找到安全告警,查看告警最新时间是否停止进行刷新,并不再发送告警短信。
结语
这篇文章主要分享一下我的解决过程,由于作者对这方面不是很了解,过程中难免可能会有错误和疏漏,如有问题还希望能够指出。