春節假期剛過,正常上班的日子正在進入步伐,早上起來的時候發現騰訊助手發來了好幾條安全告警通知,檢測到幾個木馬檔案,巧了,昨天也收到一個木馬警告,作為一個網絡小白的我,隻是把木馬檔案隔離,沒想到今天又中招了,其實我很懵,怎麼會有人攻擊我網站伺服器,而且伺服器上我隻是部署了幾個自己的站點,是以我的第一反應是是不是公司裡哪個大佬想用我的伺服器練練手,但當我打開騰訊雲的入侵檢測頁面時,發現事情并沒有這麼簡單,看着入侵時間分别是半夜的12點和淩晨的3點,感覺像是定時任務,而且伺服器檔案都還在,沒有被加密,是以應該也不是勒索病毒,但是我的站點都打不開了,加載的時候一直在轉圈圈,從淩晨12點開始,CPU占用一直百分之百,看到這裡對網絡安全熟悉的朋友應該就能看出來,我這是被挖礦了,黑客通過批量入侵主機使用這些主機的算力為他們挖礦,好吧,其實當時我根本就不知道是被挖礦了,我當機立斷把木馬檔案隔離,然後重新開機了一波伺服器,CPU占用是正常了,網絡也都可以通路了,但是這治标不治本,估計明天半夜又被入侵了。
于是我檢視了這幾個木馬檔案的位置,有了新的發現,這Dota3的壓縮檔案是什麼鬼,順手搜了一波,原來是被植入挖礦木馬了,剛好看到一篇文章和我的這個情況基本一緻,那我就不用慌了,因為人家的文章裡寫了如何解決,我先來看看這些木馬檔案裡都有些什麼,畢竟是第一次被成功入侵,還是有點好奇,打開這個檔案夾進入檔案夾a裡面有4個檔案,這些需要腳本感覺是挖礦前的環境準備,這裡還有判斷CPU類型,然後執行對應的腳本,看一下檔案夾b有三個檔案,這個腳本有點意思,這個代碼很長是用編碼過了,先往下看,這兒把黑客的Rsa公鑰添加到信任清單裡,然後就能直接免密登入我的伺服器,剩下的檔案夾c也是類似的一些需要腳本就不看了,先把這段很長的代碼解碼一下,解碼後得到這麼多看起來也是亂碼的檔案,然後用Perl執行一下,這些就是源代碼了,這個sync應該就是木馬程式的程序名。
然後下面這個應該就是攻擊者的IP位址,讓我們檢視一下,顯示位址是歐盟,這個入侵我伺服器的主機IP和那篇文章作者受到的入侵IP是同一個網段下的,估計是同一個機房裡的機器。那麼到這裡伺服器被挖礦的過程已經挺清晰了,但還有一個最大的問題,他們是如何攻破我的伺服器的,或者說我的伺服器哪裡存在了漏洞,然後看這篇文章裡作者的伺服器是因為弱密碼而被入侵,但是我的伺服器管理者密碼是由10位大寫字母加小寫字母加數字加标點組成的,按道理來說應該是不容易被爆破的。