阿里云優(yōu)惠券 先領券再下單

近日，某一客戶網站服務器被入侵，導致服務器被植入木馬病毒，重做系統(tǒng)也于事無補，目前客戶網站處于癱瘓狀態(tài)，損失較大，通過朋友介紹找到我們SINE安全公司，我們立即成立安全應急處理小組，針對客戶服務器被攻擊，被黑的情況進行全面的安全檢測與防護部署。記錄一下我們整個的安全處理過程，教大家該如何防止服務器被攻擊，如何解決服務器被入侵的問題。

首先我們來確認下客戶的服務器，使用的是linux centos系統(tǒng)，網站采用的PHP語言開發(fā)，數據庫類型是mysql，使用開源的thinkphp架構二次開發(fā)而成，服務器配置是16核，32G內存，帶寬100M獨享，使用的是阿里云ECS服務器，在被黑客攻擊之前，收到過阿里云的短信，提示服務器在異地登錄，我們SINE安全技術跟客戶對接了阿里云的賬號密碼以及服務器的IP，SSH端口，root賬號密碼。立即展開對服務器的安全應急處理。

登錄服務器后我們發(fā)現CPU占用百分之90多，16核的處理都在使用當中，立即對占用CPU的進程進行追查發(fā)現是watchdogs進程占用著，導致服務器卡頓，客戶的網站無法打開狀態(tài)，查看服務器的帶寬使用占用到了100M，帶寬全部被占滿，一開始以為網站遭受到了DDOS流量攻擊，通過我們的詳細安全分析與檢測，可以排除流量攻擊的可能，再對watchdogs相關聯(lián)的進程查看的時候發(fā)現了問題。服務器被入侵植入了挖礦木馬病毒，植入木馬的手法很高明，徹底的隱藏起來，肉眼根本無法察覺出來，采用的是rootkit的技術不斷的隱藏與生成木馬。

找到了攻擊特征，我們緊接著在服務器的計劃任務里發(fā)現被增加了任務，crontab每小時自動下載SO文件到系統(tǒng)目錄當中去，該SO文件下載下來經過我們的SINE安全部門檢測發(fā)現是木馬后門，而且還是免殺的，植入到系統(tǒng)進程進行偽裝挖礦。

知道木馬的位置以及來源，我們對其進行了強制刪除，對進程進行了修復，防止木馬自動運行，對系統(tǒng)文件里的SO文件進行刪除，與目錄做防篡改部署，殺掉KILL惡意的挖礦進程，對linux服務器進行了安全加固。那么服務器到底是如何被植入木馬，被攻擊的呢？經過我們SINE安全2天2夜的不間斷安全檢測與分析，終于找到服務器被攻擊的原因了，是網站存在漏洞，導致上傳了webshell網站木馬，還留了一句話木馬，攻擊者直接通過網站漏洞進行篡改上傳木馬文件到網站根目錄下，并提權拿到服務器的root權限，再植入的挖礦木馬。

如何防止服務器被攻擊，被入侵

首先我們要對網站漏洞進行修復，對客戶網站代碼進行全面的安全檢測與分析，對上傳功能，以及sql注入，XSS跨站，遠程代碼執(zhí)行漏洞進行安全測試，發(fā)現客戶網站代碼存在上傳漏洞，立即對其進行修復，限制上傳的文件類型，對上傳的目錄進行無腳本執(zhí)行權限的安全部署，對客戶的服務器登錄做了安全限制，不僅僅使用的是root賬號密碼，而且還需要證書才能登錄服務器。如果服務器反復被黑客攻擊，建議找專業(yè)的網絡安全公司來解決問題，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業(yè).專業(yè)的事，就得需要專業(yè)的人干，至此服務器被攻擊的問題得以解決，客戶網站恢復正常，也希望更多遇到同樣問題的服務器，都能通過上面的辦法解決。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！