當(dāng)前位置:首頁 >  站長 >  網(wǎng)站運(yùn)營 >  正文

服務(wù)器被植入挖礦病毒的解決方案

 2019-07-01 10:24  來源: A5用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

近日,某一客戶網(wǎng)站服務(wù)器被入侵,導(dǎo)致服務(wù)器被植入木馬病毒,重做系統(tǒng)也于事無補(bǔ),目前客戶網(wǎng)站處于癱瘓狀態(tài),損失較大,通過朋友介紹找到我們SINE安全公司,我們立即成立安全應(yīng)急處理小組,針對客戶服務(wù)器被攻擊,被黑的情況進(jìn)行全面的安全檢測與防護(hù)部署。記錄一下我們整個(gè)的安全處理過程,教大家該如何防止服務(wù)器被攻擊,如何解決服務(wù)器被入侵的問題。

首先我們來確認(rèn)下客戶的服務(wù)器,使用的是linux centos系統(tǒng),網(wǎng)站采用的PHP語言開發(fā),數(shù)據(jù)庫類型是mysql,使用開源的thinkphp架構(gòu)二次開發(fā)而成,服務(wù)器配置是16核,32G內(nèi)存,帶寬100M獨(dú)享,使用的是阿里云ECS服務(wù)器,在被黑客攻擊之前,收到過阿里云的短信,提示服務(wù)器在異地登錄,我們SINE安全技術(shù)跟客戶對接了阿里云的賬號密碼以及服務(wù)器的IP,SSH端口,root賬號密碼。立即展開對服務(wù)器的安全應(yīng)急處理。

登錄服務(wù)器后我們發(fā)現(xiàn)CPU占用百分之90多,16核的處理都在使用當(dāng)中,立即對占用CPU的進(jìn)程進(jìn)行追查發(fā)現(xiàn)是watchdogs進(jìn)程占用著,導(dǎo)致服務(wù)器卡頓,客戶的網(wǎng)站無法打開狀態(tài),查看服務(wù)器的帶寬使用占用到了100M,帶寬全部被占滿,一開始以為網(wǎng)站遭受到了DDOS流量攻擊,通過我們的詳細(xì)安全分析與檢測,可以排除流量攻擊的可能,再對watchdogs相關(guān)聯(lián)的進(jìn)程查看的時(shí)候發(fā)現(xiàn)了問題。服務(wù)器被入侵植入了挖礦木馬病毒,植入木馬的手法很高明,徹底的隱藏起來,肉眼根本無法察覺出來,采用的是rootkit的技術(shù)不斷的隱藏與生成木馬。

找到了攻擊特征,我們緊接著在服務(wù)器的計(jì)劃任務(wù)里發(fā)現(xiàn)被增加了任務(wù),crontab每小時(shí)自動(dòng)下載SO文件到系統(tǒng)目錄當(dāng)中去,該SO文件下載下來經(jīng)過我們的SINE安全部門檢測發(fā)現(xiàn)是木馬后門,而且還是免殺的,植入到系統(tǒng)進(jìn)程進(jìn)行偽裝挖礦。

知道木馬的位置以及來源,我們對其進(jìn)行了強(qiáng)制刪除,對進(jìn)程進(jìn)行了修復(fù),防止木馬自動(dòng)運(yùn)行,對系統(tǒng)文件里的SO文件進(jìn)行刪除,與目錄做防篡改部署,殺掉KILL惡意的挖礦進(jìn)程,對linux服務(wù)器進(jìn)行了安全加固。那么服務(wù)器到底是如何被植入木馬,被攻擊的呢?經(jīng)過我們SINE安全2天2夜的不間斷安全檢測與分析,終于找到服務(wù)器被攻擊的原因了,是網(wǎng)站存在漏洞,導(dǎo)致上傳了webshell網(wǎng)站木馬,還留了一句話木馬,攻擊者直接通過網(wǎng)站漏洞進(jìn)行篡改上傳木馬文件到網(wǎng)站根目錄下,并提權(quán)拿到服務(wù)器的root權(quán)限,再植入的挖礦木馬。

如何防止服務(wù)器被攻擊,被入侵

首先我們要對網(wǎng)站漏洞進(jìn)行修復(fù),對客戶網(wǎng)站代碼進(jìn)行全面的安全檢測與分析,對上傳功能,以及sql注入,XSS跨站,遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行安全測試,發(fā)現(xiàn)客戶網(wǎng)站代碼存在上傳漏洞,立即對其進(jìn)行修復(fù),限制上傳的文件類型,對上傳的目錄進(jìn)行無腳本執(zhí)行權(quán)限的安全部署,對客戶的服務(wù)器登錄做了安全限制,不僅僅使用的是root賬號密碼,而且還需要證書才能登錄服務(wù)器。如果服務(wù)器反復(fù)被黑客攻擊,建議找專業(yè)的網(wǎng)絡(luò)安全公司來解決問題,國內(nèi)也就Sinesafe和綠盟、啟明星辰等安全公司比較專業(yè).專業(yè)的事,就得需要專業(yè)的人干,至此服務(wù)器被攻擊的問題得以解決,客戶網(wǎng)站恢復(fù)正常,也希望更多遇到同樣問題的服務(wù)器,都能通過上面的辦法解決。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站服務(wù)器

相關(guān)文章

熱門排行

信息推薦