域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
近日,某一客戶(hù)網(wǎng)站服務(wù)器被入侵,導(dǎo)致服務(wù)器被植入木馬病毒,重做系統(tǒng)也于事無(wú)補(bǔ),目前客戶(hù)網(wǎng)站處于癱瘓狀態(tài),損失較大,通過(guò)朋友介紹找到我們SINE安全公司,我們立即成立安全應(yīng)急處理小組,針對(duì)客戶(hù)服務(wù)器被攻擊,被黑的情況進(jìn)行全面的安全檢測(cè)與防護(hù)部署。記錄一下我們整個(gè)的安全處理過(guò)程,教大家該如何防止服務(wù)器被攻擊,如何解決服務(wù)器被入侵的問(wèn)題。
首先我們來(lái)確認(rèn)下客戶(hù)的服務(wù)器,使用的是linux centos系統(tǒng),網(wǎng)站采用的PHP語(yǔ)言開(kāi)發(fā),數(shù)據(jù)庫(kù)類(lèi)型是mysql,使用開(kāi)源的thinkphp架構(gòu)二次開(kāi)發(fā)而成,服務(wù)器配置是16核,32G內(nèi)存,帶寬100M獨(dú)享,使用的是阿里云ECS服務(wù)器,在被黑客攻擊之前,收到過(guò)阿里云的短信,提示服務(wù)器在異地登錄,我們SINE安全技術(shù)跟客戶(hù)對(duì)接了阿里云的賬號(hào)密碼以及服務(wù)器的IP,SSH端口,root賬號(hào)密碼。立即展開(kāi)對(duì)服務(wù)器的安全應(yīng)急處理。
登錄服務(wù)器后我們發(fā)現(xiàn)CPU占用百分之90多,16核的處理都在使用當(dāng)中,立即對(duì)占用CPU的進(jìn)程進(jìn)行追查發(fā)現(xiàn)是watchdogs進(jìn)程占用著,導(dǎo)致服務(wù)器卡頓,客戶(hù)的網(wǎng)站無(wú)法打開(kāi)狀態(tài),查看服務(wù)器的帶寬使用占用到了100M,帶寬全部被占滿(mǎn),一開(kāi)始以為網(wǎng)站遭受到了DDOS流量攻擊,通過(guò)我們的詳細(xì)安全分析與檢測(cè),可以排除流量攻擊的可能,再對(duì)watchdogs相關(guān)聯(lián)的進(jìn)程查看的時(shí)候發(fā)現(xiàn)了問(wèn)題。服務(wù)器被入侵植入了挖礦木馬病毒,植入木馬的手法很高明,徹底的隱藏起來(lái),肉眼根本無(wú)法察覺(jué)出來(lái),采用的是rootkit的技術(shù)不斷的隱藏與生成木馬。
找到了攻擊特征,我們緊接著在服務(wù)器的計(jì)劃任務(wù)里發(fā)現(xiàn)被增加了任務(wù),crontab每小時(shí)自動(dòng)下載SO文件到系統(tǒng)目錄當(dāng)中去,該SO文件下載下來(lái)經(jīng)過(guò)我們的SINE安全部門(mén)檢測(cè)發(fā)現(xiàn)是木馬后門(mén),而且還是免殺的,植入到系統(tǒng)進(jìn)程進(jìn)行偽裝挖礦。
知道木馬的位置以及來(lái)源,我們對(duì)其進(jìn)行了強(qiáng)制刪除,對(duì)進(jìn)程進(jìn)行了修復(fù),防止木馬自動(dòng)運(yùn)行,對(duì)系統(tǒng)文件里的SO文件進(jìn)行刪除,與目錄做防篡改部署,殺掉KILL惡意的挖礦進(jìn)程,對(duì)linux服務(wù)器進(jìn)行了安全加固。那么服務(wù)器到底是如何被植入木馬,被攻擊的呢?經(jīng)過(guò)我們SINE安全2天2夜的不間斷安全檢測(cè)與分析,終于找到服務(wù)器被攻擊的原因了,是網(wǎng)站存在漏洞,導(dǎo)致上傳了webshell網(wǎng)站木馬,還留了一句話木馬,攻擊者直接通過(guò)網(wǎng)站漏洞進(jìn)行篡改上傳木馬文件到網(wǎng)站根目錄下,并提權(quán)拿到服務(wù)器的root權(quán)限,再植入的挖礦木馬。
如何防止服務(wù)器被攻擊,被入侵
首先我們要對(duì)網(wǎng)站漏洞進(jìn)行修復(fù),對(duì)客戶(hù)網(wǎng)站代碼進(jìn)行全面的安全檢測(cè)與分析,對(duì)上傳功能,以及sql注入,XSS跨站,遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行安全測(cè)試,發(fā)現(xiàn)客戶(hù)網(wǎng)站代碼存在上傳漏洞,立即對(duì)其進(jìn)行修復(fù),限制上傳的文件類(lèi)型,對(duì)上傳的目錄進(jìn)行無(wú)腳本執(zhí)行權(quán)限的安全部署,對(duì)客戶(hù)的服務(wù)器登錄做了安全限制,不僅僅使用的是root賬號(hào)密碼,而且還需要證書(shū)才能登錄服務(wù)器。如果服務(wù)器反復(fù)被黑客攻擊,建議找專(zhuān)業(yè)的網(wǎng)絡(luò)安全公司來(lái)解決問(wèn)題,國(guó)內(nèi)也就Sinesafe和綠盟、啟明星辰等安全公司比較專(zhuān)業(yè).專(zhuān)業(yè)的事,就得需要專(zhuān)業(yè)的人干,至此服務(wù)器被攻擊的問(wèn)題得以解決,客戶(hù)網(wǎng)站恢復(fù)正常,也希望更多遇到同樣問(wèn)題的服務(wù)器,都能通過(guò)上面的辦法解決。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!