阿里云ECS 服務器被植入挖礦木馬的處理解決過程分享

幣牛牛 2019-06-09 11:03:01 來源:www.coinbull.one

阿里云ECS服務器是目前很多網站客戶在使用的,可以使用不同系統在服務器中,windows2008 windows2012,linux系統都可以在阿里云服務器中使用,前段時間咱們SINE安全收到客戶的安全求助,說是收到阿里云的短信提醒,提醒服務器存在挖礦進程,請立即處理的安全告警。客戶網站都無法正常的打開,卡的連服務器SSH遠程連接都進不去,給客戶造成了很大的影響。

隨即咱們SINE安全工程師對客戶的服務器進行全面的安全檢測,登錄阿里云的控制平臺,通過本地遠程進去,發現客戶服務器CPU達到百分之100,查看了服務器的CPU監控記錄,平常都是在百分之20-35之間浮動,咱們TOP查看進程,追蹤查看那些進程在占用CPU,通過檢查發現,有個進程一直在占用,從上面檢查出來的問題,可以判斷客戶的服務器被植入了挖礦程序,服務器被黑,導致阿里云安全警告有挖礦進程。

原來是客戶的服務器中了挖礦木馬,咱們來看下top進程的截圖:

阿里云ECS 服務器被植入挖礦木馬的處理解決過程分享

咱們對占用進程的ID,進行查找,發現該文件是在linux系統的tmp目錄下,咱們對該文件進行了強制刪除,并使用強制刪除進程的命令對該進程進行了刪除,CPU瞬間降到百分之10,挖礦的根源就在這里,那么黑客是如何攻擊服務器,植入挖礦木馬程序的呢?通過咱們SINE安全多年的安全經驗判斷,客戶的網站可能被篡改了,咱們立即展開對客戶網站的全面安全檢測,客戶使用的是dedecms建站系統,開源的php+mysql數據庫架構,對一切的代碼以及圖片,數據庫進行了安全檢測,果不其然發現了問題,網站的根目錄下被上傳了webshell木馬文件,咨詢了客戶,客戶說之前還收到過阿里云的webshell后門提醒,當時客戶并沒在意。

這次服務器被植入挖礦木馬程序的漏洞根源就是網站存在漏洞,咱們對dedecms的代碼漏洞進行了人工修復,包括代碼之前存在的遠程代碼執行漏洞,以及sql注入漏洞都進行了全面的漏洞修復,對網站的文件夾權限進行了安全部署,默認的dede后臺助客戶做了修改,以及增加網站后臺的二級密碼防護。

清除木馬后門,對服務器的定時任務里,發現了攻擊者添加的任務計劃,每次服務器重啟以及間隔1小時,自動執行挖礦木馬,對該定時任務計劃進行刪除,檢查了linux系統用戶,是否被添加其他的root級別的管理員用戶,發現沒有添加。對服務器的反向鏈接進行查看,包括惡意的端口有無其他IP鏈接,netstat -an檢查了一切端口的安全狀況,發現沒有植入遠程木馬后門,對客戶的端口安全進行了安全部署,使用iptables來限制端口的流入與流出。

至此客戶服務器中挖礦木馬的問題才得以徹底的解決,關于挖礦木馬的防護與解決辦法,總結一下

幾點:

定期的對網站程序代碼進行安全檢測,檢查是否有webshell后門,對網站的系統版本定期的升級與漏洞修復,網站的后臺登錄進行二次密碼驗證,防止網站存在sql注入漏洞,被獲取管理員賬號密碼,從而登錄后臺。使用阿里云的端口安全策略,對80端口,以及443端口進行開放,其余的SSH端口進行IP放行,需要登錄服務器的時候進阿里云后臺添加放行的IP,盡可能的杜絕服務器被惡意登錄,如果您也遇到服務器被阿里云提示挖礦程序,可以找專業的服務器安全集團來處理,邦內也就SINESAFE,綠盟,啟明星辰,等安全集團比較不錯,也希望咱們解決問題的過程,能夠助到更多的人。

轉載請注明來自比特幣挖礦(www.hbscits.com),本文標題:阿里云ECS 服務器被植入挖礦木馬的處理解決過程分享

阿里云ECS 服務器被植入挖礦木馬的處理解決過程分享
Top