近日,某一客戶網站伺服器被入侵,導緻伺服器被植入木馬病毒,重做系統也于事無補,目前客戶網站處于癱瘓狀态,損失較大,通過朋友介紹找到我們SINE安全公司,我們立即成立安全應急處理小組,針對客戶伺服器被攻擊,被黑的情況進行全面的安全檢測與防護部署。記錄一下我們整個的安全處理過程,教大家該如何防止伺服器被攻擊,如何解決伺服器被入侵的問題。
首先我們來确認下客戶的伺服器,使用的是linux centos系統,網站采用的PHP語言開發,資料庫類型是mysql,使用開源的thinkphp架構二次開發而成,伺服器配置是16核,32G記憶體,帶寬100M獨享,使用的是阿裡雲ECS伺服器,在被黑客攻擊之前,收到過阿裡雲的短信,提示伺服器在異地登入,我們SINE安全技術跟客戶對接了阿裡雲的賬号密碼以及伺服器的IP,SSH端口,root賬号密碼。立即展開對伺服器的安全應急處理。
登入伺服器後我們發現CPU占用百分之90多,16核的處理都在使用當中,立即對占用CPU的程序進行追查發現是watchdogs程序占用着,導緻伺服器卡頓,客戶的網站無法打開狀态,檢視伺服器的帶寬使用占用到了100M,帶寬全部被占滿,一開始以為網站遭受到了DDOS流量攻擊,通過我們的詳細安全分析與檢測,可以排除流量攻擊的可能,再對watchdogs相關聯的程序檢視的時候發現了問題。伺服器被入侵植入了挖礦木馬病毒,植入木馬的手法很高明,徹底的隐藏起來,肉眼根本無法察覺出來,采用的是rootkit的技術不斷的隐藏與生成木馬。
找到了攻擊特征,我們緊接着在伺服器的計劃任務裡發現被增加了任務,crontab每小時自動下載下傳SO檔案到系統目錄當中去,該SO檔案下載下傳下來經過我們的SINE安全部門檢測發現是木馬後門,而且還是免殺的,植入到系統程序進行僞裝挖礦。
知道木馬的位置以及來源,我們對其進行了強制删除,對程序進行了修複,防止木馬自動運作,對系統檔案裡的SO檔案進行删除,與目錄做防篡改部署,殺掉KILL惡意的挖礦程序,對linux伺服器進行了安全加強。那麼伺服器到底是如何被植入木馬,被攻擊的呢?經過我們SINE安全2天2夜的不間斷安全檢測與分析,終于找到伺服器被攻擊的原因了,是網站存在漏洞,導緻上傳了webshell網站木馬,還留了一句話木馬,攻擊者直接通過網站漏洞進行篡改上傳木馬檔案到網站根目錄下,并提權拿到伺服器的root權限,再植入的挖礦木馬。
如何防止伺服器被攻擊,被入侵
首先我們要對網站漏洞進行修複,對客戶網站代碼進行全面的安全檢測與分析,對上傳功能,以及sql注入,XSS跨站,遠端代碼執行漏洞進行安全測試,發現客戶網站代碼存在上傳漏洞,立即對其進行修複,限制上傳的檔案類型,對上傳的目錄進行無腳本執行權限的安全部署,對客戶的伺服器登入做了安全限制,不僅僅使用的是root賬号密碼,而且還需要證書才能登入伺服器。如果伺服器反複被黑客攻擊,建議找專業的網絡安全公司來解決問題,國内也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.專業的事,就得需要專業的人幹,至此伺服器被攻擊的問題得以解決,客戶網站恢複正常,也希望更多遇到同樣問題的伺服器,都能通過上面的辦法解決。