當(dāng)前位置:首頁 >  站長 >  建站經(jīng)驗 >  正文

阿里云ECS 被植入挖礦木馬的處理解決過程分享

 2019-06-06 11:28  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

阿里云ECS服務(wù)器是目前很多網(wǎng)站客戶在使用的,可以使用不同系統(tǒng)在服務(wù)器中,windows2008 windows2012,linux系統(tǒng)都可以在阿里云服務(wù)器中使用,前段時間我們SINE安全收到客戶的安全求助,說是收到阿里云的短信提醒,提醒服務(wù)器存在挖礦進(jìn)程,請立即處理的安全告警。客戶網(wǎng)站都無法正常的打開,卡的連服務(wù)器SSH遠(yuǎn)程連接都進(jìn)不去,給客戶造成了很大的影響。

隨即我們SINE安全工程師對客戶的服務(wù)器進(jìn)行全面的安全檢測,登錄阿里云的控制平臺,通過本地遠(yuǎn)程進(jìn)去,發(fā)現(xiàn)客戶服務(wù)器CPU達(dá)到百分之100,查看了服務(wù)器的CPU監(jiān)控記錄,平常都是在百分之20-35之間浮動,我們TOP查看進(jìn)程,追蹤查看那些進(jìn)程在占用CPU,通過檢查發(fā)現(xiàn),有個進(jìn)程一直在占用,從上面檢查出來的問題,可以判斷客戶的服務(wù)器被植入了挖礦程序,服務(wù)器被黑,導(dǎo)致阿里云安全警告有挖礦進(jìn)程。

原來是客戶的服務(wù)器中了挖礦木馬,我們來看下top進(jìn)程的截圖:

我們對占用進(jìn)程的ID,進(jìn)行查找,發(fā)現(xiàn)該文件是在linux系統(tǒng)的tmp目錄下,我們對該文件進(jìn)行了強(qiáng)制刪除,并使用強(qiáng)制刪除進(jìn)程的命令對該進(jìn)程進(jìn)行了刪除,CPU瞬間降到百分之10,挖礦的根源就在這里,那么黑客是如何攻擊服務(wù)器,植入挖礦木馬程序的呢?通過我們SINE安全多年的安全經(jīng)驗判斷,客戶的網(wǎng)站可能被篡改了,我們立即展開對客戶網(wǎng)站的全面安全檢測,客戶使用的是dedecms建站系統(tǒng),開源的php+mysql數(shù)據(jù)庫架構(gòu),對所有的代碼以及圖片,數(shù)據(jù)庫進(jìn)行了安全檢測,果不其然發(fā)現(xiàn)了問題,網(wǎng)站的根目錄下被上傳了webshell木馬文件,咨詢了客戶,客戶說之前還收到過阿里云的webshell后門提醒,當(dāng)時客戶并沒在意。

這次服務(wù)器被植入挖礦木馬程序的漏洞根源就是網(wǎng)站存在漏洞,我們對dedecms的代碼漏洞進(jìn)行了人工修復(fù),包括代碼之前存在的遠(yuǎn)程代碼執(zhí)行漏洞,以及sql注入漏洞都進(jìn)行了全面的漏洞修復(fù),對網(wǎng)站的文件夾權(quán)限進(jìn)行了安全部署,默認(rèn)的dede后臺幫客戶做了修改,以及增加網(wǎng)站后臺的二級密碼防護(hù)。

清除木馬后門,對服務(wù)器的定時任務(wù)里,發(fā)現(xiàn)了攻擊者添加的任務(wù)計劃,每次服務(wù)器重啟以及間隔1小時,自動執(zhí)行挖礦木馬,對該定時任務(wù)計劃進(jìn)行刪除,檢查了linux系統(tǒng)用戶,是否被添加其他的root級別的管理員用戶,發(fā)現(xiàn)沒有添加。對服務(wù)器的反向鏈接進(jìn)行查看,包括惡意的端口有無其他IP鏈接,netstat -an檢查了所有端口的安全狀況,發(fā)現(xiàn)沒有植入遠(yuǎn)程木馬后門,對客戶的端口安全進(jìn)行了安全部署,使用iptables來限制端口的流入與流出。

至此客戶服務(wù)器中挖礦木馬的問題才得以徹底的解決,關(guān)于挖礦木馬的防護(hù)與解決辦法,總結(jié)一下

幾點:

定期的對網(wǎng)站程序代碼進(jìn)行安全檢測,檢查是否有webshell后門,對網(wǎng)站的系統(tǒng)版本定期的升級與漏洞修復(fù),網(wǎng)站的后臺登錄進(jìn)行二次密碼驗證,防止網(wǎng)站存在sql注入漏洞,被獲取管理員賬號密碼,從而登錄后臺。使用阿里云的端口安全策略,對80端口,以及443端口進(jìn)行開放,其余的SSH端口進(jìn)行IP放行,需要登錄服務(wù)器的時候進(jìn)阿里云后臺添加放行的IP,盡可能的杜絕服務(wù)器被惡意登錄,如果您也遇到服務(wù)器被阿里云提示挖礦程序,可以找專業(yè)的服務(wù)器安全公司來處理,國內(nèi)也就SINESAFE,綠盟,啟明星辰,等安全公司比較不錯,也希望我們解決問題的過程,能夠幫到更多的人。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
阿里云
挖礦木馬

相關(guān)文章

  • 阿里云峰會發(fā)布《Well-Architected云卓越架構(gòu)白皮書》:助力企業(yè)用好云管好云

    6月1日,2023阿里云峰會·粵港澳大灣區(qū)在廣州舉行,會上阿里云正式推出《云卓越架構(gòu)白皮書》,為企業(yè)用云管云解決方案和產(chǎn)品化落地提供指引,助力企業(yè)構(gòu)建更加安全、高效、穩(wěn)定的云架構(gòu)。本書由阿里云架構(gòu)師團(tuán)隊、產(chǎn)品團(tuán)隊、全球交付團(tuán)隊等眾多團(tuán)隊基于過去多年服務(wù)企業(yè)的經(jīng)驗總結(jié)共同撰寫,從安全合規(guī)、穩(wěn)定性、成本

    標(biāo)簽:
    阿里云
  • 性價比提升15%,阿里云發(fā)布第八代企業(yè)級計算實例g8a和性能增強(qiáng)型實例g8ae

    5月17日,2023阿里云峰會·常州站上,阿里云正式發(fā)布第八代企業(yè)級計算實例g8a以及性能增強(qiáng)性實例g8ae。兩款實例搭載第四代AMDEPYC處理器,標(biāo)配阿里云eRDMA大規(guī)模加速能力,網(wǎng)絡(luò)延時低至8微秒。其中,g8a綜合性價比平均提升15%以上,g8ae算力最高提升55%,在AI推理與訓(xùn)練、深度學(xué)

    標(biāo)簽:
    阿里云
  • 阿里云分拆上市,張勇發(fā)聲了!

    5月18日晚,阿里巴巴集團(tuán)董事會主席兼CEO、阿里云智能集團(tuán)董事長兼CEO張勇向阿里云員工發(fā)出全員信。他表示,阿里云智能計劃在未來12個月將從阿里集團(tuán)完全分拆,并完成上市,在股權(quán)和公司治理上形成一家與阿里集團(tuán)完全獨立的新公司。同時,阿里云智能集團(tuán)將引入外部戰(zhàn)略投資者。據(jù)阿里巴巴集團(tuán)最新財報,阿里云智

    標(biāo)簽:
    阿里云
  • 阿里云,在AI戰(zhàn)場鳴槍

    文/零度出品/節(jié)點商業(yè)組阿里史上最大一次組織變革后,內(nèi)部傳達(dá)出一個信號:所有業(yè)務(wù),只要干得好,都能獨立融資上市。一時間,市場眾說紛紜。對于誰將成為當(dāng)前階段阿里體系第一個獨立上市的項目,大家都在猜測。由張勇帶隊的阿里云,成為市場最關(guān)注的獨立業(yè)務(wù)線。兩個線索,其一、阿里云已經(jīng)在國內(nèi)云服務(wù)第一的位置上良久

    標(biāo)簽:
    阿里云
  • 加速元宇宙創(chuàng)新生態(tài),阿里云和伙伴一起探尋奇點

    2月28日至3月1日,由阿里云主辦、36氪協(xié)辦的「阿里云元宇宙加速器」在杭州阿里云谷園區(qū)順利完成集結(jié)。集結(jié)現(xiàn)場在為期兩天的活動中,來自阿里云、大淘系、阿里戰(zhàn)投等阿里內(nèi)部多個團(tuán)隊的相關(guān)負(fù)責(zé)人從不同角度分享了阿里在數(shù)字人、XR等與元宇宙主題相關(guān)領(lǐng)域的方向和進(jìn)展,并攜手英偉達(dá)、聲網(wǎng)等生態(tài)合作方,積極尋求與

    標(biāo)簽:
    阿里云
    元宇宙

熱門排行

信息推薦