成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

阿里云ECS被植入挖礦木馬的處理解決過(guò)程分享

2024-01-26    分類: 網(wǎng)站建設(shè)

阿里云ECS服務(wù)器是目前很多網(wǎng)站客戶在使用的,可以使用不同系統(tǒng)在服務(wù)器中,windows2008 windows2012,linux系統(tǒng)都可以在阿里云服務(wù)器中使用,前段時(shí)間我們SINE安全收到客戶的安全求助,說(shuō)是收到阿里云的短信提醒,提醒服務(wù)器存在挖礦進(jìn)程,請(qǐng)立即處理的安全告警??蛻艟W(wǎng)站都無(wú)法正常的打開,卡的連服務(wù)器SSH遠(yuǎn)程連接都進(jìn)不去,給客戶造成了很大的影響。

隨即我們SINE安全工程師對(duì)客戶的服務(wù)器進(jìn)行全面的安全檢測(cè),登錄阿里云的控制平臺(tái),通過(guò)本地遠(yuǎn)程進(jìn)去,發(fā)現(xiàn)客戶服務(wù)器CPU達(dá)到百分之100,查看了服務(wù)器的CPU監(jiān)控記錄,平常都是在百分之20-35之間浮動(dòng),我們TOP查看進(jìn)程,追蹤查看那些進(jìn)程在占用CPU,通過(guò)檢查發(fā)現(xiàn),有個(gè)進(jìn)程一直在占用,從上面檢查出來(lái)的問(wèn)題,可以判斷客戶的服務(wù)器被植入了挖礦程序,服務(wù)器被黑,導(dǎo)致阿里云安全警告有挖礦進(jìn)程。

原來(lái)是客戶的服務(wù)器中了挖礦木馬,我們來(lái)看下top進(jìn)程的截圖:

我們對(duì)占用進(jìn)程的ID,進(jìn)行查找,發(fā)現(xiàn)該文件是在linux系統(tǒng)的tmp目錄下,我們對(duì)該文件進(jìn)行了強(qiáng)制刪除,并使用強(qiáng)制刪除進(jìn)程的命令對(duì)該進(jìn)程進(jìn)行了刪除,CPU瞬間降到百分之10,挖礦的根源就在這里,那么黑客是如何攻擊服務(wù)器,植入挖礦木馬程序的呢?通過(guò)我們SINE安全多年的安全經(jīng)驗(yàn)判斷,客戶的網(wǎng)站可能被篡改了,我們立即展開對(duì)客戶網(wǎng)站的全面安全檢測(cè),客戶使用的是dedecms建站系統(tǒng),開源的php+mysql數(shù)據(jù)庫(kù)架構(gòu),對(duì)所有的代碼以及圖片,數(shù)據(jù)庫(kù)進(jìn)行了安全檢測(cè),果不其然發(fā)現(xiàn)了問(wèn)題,網(wǎng)站的根目錄下被上傳了webshell木馬文件,咨詢了客戶,客戶說(shuō)之前還收到過(guò)阿里云的webshell后門提醒,當(dāng)時(shí)客戶并沒(méi)在意。

這次服務(wù)器被植入挖礦木馬程序的漏洞根源就是網(wǎng)站存在漏洞,我們對(duì)dedecms的代碼漏洞進(jìn)行了人工修復(fù),包括代碼之前存在的遠(yuǎn)程代碼執(zhí)行漏洞,以及sql注入漏洞都進(jìn)行了全面的漏洞修復(fù),對(duì)網(wǎng)站的文件夾權(quán)限進(jìn)行了安全部署,默認(rèn)的dede后臺(tái)幫客戶做了修改,以及增加網(wǎng)站后臺(tái)的二級(jí)密碼防護(hù)。

清除木馬后門,對(duì)服務(wù)器的定時(shí)任務(wù)里,發(fā)現(xiàn)了攻擊者添加的任務(wù)計(jì)劃,每次服務(wù)器重啟以及間隔1小時(shí),自動(dòng)執(zhí)行挖礦木馬,對(duì)該定時(shí)任務(wù)計(jì)劃進(jìn)行刪除,檢查了linux系統(tǒng)用戶,是否被添加其他的root級(jí)別的管理員用戶,發(fā)現(xiàn)沒(méi)有添加。對(duì)服務(wù)器的反向鏈接進(jìn)行查看,包括惡意的端口有無(wú)其他IP鏈接,netstat -an檢查了所有端口的安全狀況,發(fā)現(xiàn)沒(méi)有植入遠(yuǎn)程木馬后門,對(duì)客戶的端口安全進(jìn)行了安全部署,使用iptables來(lái)限制端口的流入與流出。

至此客戶服務(wù)器中挖礦木馬的問(wèn)題才得以徹底的解決,關(guān)于挖礦木馬的防護(hù)與解決辦法,總結(jié)一下:

定期的對(duì)網(wǎng)站程序代碼進(jìn)行安全檢測(cè),檢查是否有webshell后門,對(duì)網(wǎng)站的系統(tǒng)版本定期的升級(jí)與漏洞修復(fù),網(wǎng)站的后臺(tái)登錄進(jìn)行二次密碼驗(yàn)證,防止網(wǎng)站存在sql注入漏洞,被獲取管理員賬號(hào)密碼,從而登錄后臺(tái)。使用阿里云的端口安全策略,對(duì)80端口,以及443端口進(jìn)行開放,其余的SSH端口進(jìn)行IP放行,需要登錄服務(wù)器的時(shí)候進(jìn)阿里云后臺(tái)添加放行的IP,盡可能的杜絕服務(wù)器被惡意登錄,如果您也遇到服務(wù)器被阿里云提示挖礦程序,可以找專業(yè)的服務(wù)器安全公司來(lái)處理,國(guó)內(nèi)也就SINESAFE,綠盟,啟明星辰,等安全公司比較不錯(cuò),也希望我們解決問(wèn)題的過(guò)程,能夠幫到更多的人。

本文名稱:阿里云ECS被植入挖礦木馬的處理解決過(guò)程分享
當(dāng)前地址:http://jinyejixie.com/news28/315478.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、虛擬主機(jī)面包屑導(dǎo)航、服務(wù)器托管、軟件開發(fā)動(dòng)態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

手機(jī)網(wǎng)站建設(shè)
襄城县| 二连浩特市| 邯郸县| 海林市| 基隆市| 潮安县| 贺州市| 巴里| 昭苏县| 樟树市| 巫山县| 家居| 安平县| 手游| 葵青区| 连城县| 沭阳县| 临江市| 同仁县| 汝南县| 建昌县| 开远市| 和龙市| 常熟市| 习水县| 普陀区| 禄丰县| 海城市| 临湘市| 巴楚县| 平遥县| 黄山市| 沙坪坝区| 古交市| 峨山| 新民市| 河津市| 兰溪市| 内丘县| 阳泉市| 水富县|