微技术

关注技术领域,分享资讯和经验。

数据安全始终是一个不可忽视的问题

最近,自己的一个测试环境,遭遇了hacker攻击。
具体是oracle用户被攻破了,原因是该环境通过DDNS连接到了外网,而因为只是测试,没有注意安全防范,设置的口令过于简单。
下面记录下,也作为警醒。

1.发现资源使用异常

CPU告警,使用top去查询资源使用情况发现CPU使用率非常高,达到94%:

[root@db01rac1 ~]# top
top - 22:51:02 up  7:25,  2 users,  load average: 5.52, 5.86, 5.26
Tasks: 353 total,   1 running, 252 sleeping,   0 stopped,   0 zombie
%Cpu(s): 93.4 us,  3.9 sy,  0.0 ni,  0.0 id,  0.0 wa,  1.3 hi,  1.3 si,  0.0 st
KiB Mem : 16389096 total,  3860480 free,  5278820 used,  7249796 buff/cache
KiB Swap:  1048572 total,  1048572 free,        0 used.  5589440 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND                                                                                                      
 9481 oracle    20   0 2450304   2.3g      4 S 344.4 14.7 114:48.41 -bash    
...

其实,这个环境只分配了4个lcpu,现在这情况基本是把CPU资源全跑满了的。
而这个罪魁祸首就是一个-bash的程序,好家伙,好有迷惑性的一个起名,不仔细判断还以为是正常程序,只是太贪心,把资源吃的这么满很容易被觉察。

2.排查处理

首先就尝试杀掉进程,在自己意料之中的,发现新的进程会再次被启动,很快又会将资源吃满。
进一步排查发现有两个地方被做了手脚:

一是oracle用户的定时任务;
每分钟都会调用该程序启动。

二是oracle用户的环境变量~/.bash_profile 也被写入恶意代码,只要再次登陆oracle用户就会被调用。

值得一提的是,两个攻击的脚本也被放到了两个不同的地方,看起来设计理念是防止一个被发现清理,还有另外的一整套备份不受影响。

还好作为一个有运维经验的人来说,这些都很熟系,很快就能发现蹊跷,一一清理后,观察一段时间,基本OK。
当然,最后关键还是要把弱密码全更改掉,以免轻易被攻破沦陷。

老是看着别人提起被攻击,或是听说某某云服务商的服务器被攻击,但是真关系到自己还是头一次遇到。
之前一直侥幸的以为数据安全离自己还是很远的,这次遭遇的被攻击小插曲也警醒自己引以为戒吧,数据安全始终是一个不可忽视的问题。