阿里云ECS服務(wù)器是目前很多網(wǎng)站客戶在使用的��,可以使用不同系統(tǒng)在服務(wù)器中��,windows2008 windows2012,linux系統(tǒng)都可以在阿里云服務(wù)器中使用��,前段時間我們SINE安全收到客戶的安全求助�,說是收到阿里云的短信提醒���,提醒服務(wù)器存在挖礦進(jìn)程�����,請立即處理的安全告警����。客戶網(wǎng)站都無法正常的打開�,卡的連服務(wù)器SSH遠(yuǎn)程連接都進(jìn)不去,給客戶造成了很大的影響���。
隨即我們SINE安全工程師對客戶的服務(wù)器進(jìn)行全面的安全檢測�����,登錄阿里云的控制平臺��,通過本地遠(yuǎn)程進(jìn)去����,發(fā)現(xiàn)客戶服務(wù)器CPU達(dá)到百分之100����,查看了服務(wù)器的CPU監(jiān)控記錄,平常都是在百分之20-35之間浮動��,我們TOP查看進(jìn)程�,追蹤查看那些進(jìn)程在占用CPU����,通過檢查發(fā)現(xiàn)��,有個進(jìn)程一直在占用����,從上面檢查出來的問題�����,可以判斷客戶的服務(wù)器被植入了挖礦程序�,服務(wù)器被黑,導(dǎo)致阿里云安全警告有挖礦進(jìn)程����。
原來是客戶的服務(wù)器中了挖礦木馬,我們來看下top進(jìn)程的截圖:
我們對占用進(jìn)程的ID�,進(jìn)行查找,發(fā)現(xiàn)該文件是在linux系統(tǒng)的tmp目錄下����,我們對該文件進(jìn)行了強(qiáng)制刪除,并使用強(qiáng)制刪除進(jìn)程的命令對該進(jìn)程進(jìn)行了刪除��,CPU瞬間降到百分之10,挖礦的根源就在這里��,那么黑客是如何攻擊服務(wù)器���,植入挖礦木馬程序的呢�?通過我們SINE安全多年的安全經(jīng)驗(yàn)判斷�,客戶的網(wǎng)站可能被篡改了,我們立即展開對客戶網(wǎng)站的全面安全檢測��,客戶使用的是dedecms建站系統(tǒng)�����,開源的php+mysql數(shù)據(jù)庫架構(gòu)���,對所有的代碼以及圖片�����,數(shù)據(jù)庫進(jìn)行了安全檢測���,果不其然發(fā)現(xiàn)了問題,網(wǎng)站的根目錄下被上傳了webshell木馬文件�,咨詢了客戶�,客戶說之前還收到過阿里云的webshell后門提醒�,當(dāng)時客戶并沒在意。
這次服務(wù)器被植入挖礦木馬程序的漏洞根源就是網(wǎng)站存在漏洞�,我們對dedecms的代碼漏洞進(jìn)行了人工修復(fù)����,包括代碼之前存在的遠(yuǎn)程代碼執(zhí)行漏洞,以及sql注入漏洞都進(jìn)行了全面的漏洞修復(fù)�,對網(wǎng)站的文件夾權(quán)限進(jìn)行了安全部署,默認(rèn)的dede后臺幫客戶做了修改���,以及增加網(wǎng)站后臺的二級密碼防護(hù)�。
清除木馬后門���,對服務(wù)器的定時任務(wù)里�����,發(fā)現(xiàn)了攻擊者添加的任務(wù)計(jì)劃�����,每次服務(wù)器重啟以及間隔1小時����,自動執(zhí)行挖礦木馬,對該定時任務(wù)計(jì)劃進(jìn)行刪除���,檢查了linux系統(tǒng)用戶�����,是否被添加其他的root級別的管理員用戶�����,發(fā)現(xiàn)沒有添加��。對服務(wù)器的反向鏈接進(jìn)行查看��,包括惡意的端口有無其他IP鏈接�����,netstat -an檢查了所有端口的安全狀況�����,發(fā)現(xiàn)沒有植入遠(yuǎn)程木馬后門�,對客戶的端口安全進(jìn)行了安全部署,使用iptables來限制端口的流入與流出�����。
至此客戶服務(wù)器中挖礦木馬的問題才得以徹底的解決�,關(guān)于挖礦木馬的防護(hù)與解決辦法,總結(jié)一下:
定期的對網(wǎng)站程序代碼進(jìn)行安全檢測����,檢查是否有webshell后門���,對網(wǎng)站的系統(tǒng)版本定期的升級與漏洞修復(fù)���,網(wǎng)站的后臺登錄進(jìn)行二次密碼驗(yàn)證,防止網(wǎng)站存在sql注入漏洞����,被獲取管理員賬號密碼,從而登錄后臺�。使用阿里云的端口安全策略,對80端口����,以及443端口進(jìn)行開放�,其余的SSH端口進(jìn)行IP放行�����,需要登錄服務(wù)器的時候進(jìn)阿里云后臺添加放行的IP��,盡可能的杜絕服務(wù)器被惡意登錄�,如果您也遇到服務(wù)器被阿里云提示挖礦程序,可以找專業(yè)的服務(wù)器安全公司來處理�����,國內(nèi)也就SINESAFE,綠盟�,啟明星辰,等安全公司比較不錯�����,也希望我們解決問題的過程�����,能夠幫到更多的人����。
全國熱線:0512-65622224 
咨詢我們
公司新聞
微信/小程序
建站知識
網(wǎng)站優(yōu)化
app開發(fā)知識
當(dāng)前位置:
蘇公網(wǎng)安備32050602013336