网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
阿里云ECS植入挖矿木马的处理和解析流程共享中
发布日期:2021-04-17 阅读次数: 字体大小:

当前,许多网站客户都在使用阿里云ecs服务器。 服务器中可以使用不同的系统。windows2008windows2012,linux系统都可以在阿里云服务器中使用。 前一段时间,SINE安全地接待了客户。 安全帮助请求是一个安全警报,该警报从阿里云接收到SMS提醒,以提醒服务器存在挖掘过程。 请立即处理。 客户的网站无法正常打开,卡甚至无法进入服务器ssh远程连接,这对客户造成了很大的影响。
我们的SINE安全工程师立即对客户端服务器进行了全面的安全检查,登录到阿里云控制平台,通过本地和远程进入,发现客户服务器cpu达到100%,并检查了服务器的cpu监控记录,通常在20%至35%之间波动。 我们会检查进程并跟踪占用CPU的进程。 通过检查,我们发现正在占用一个过程。 从上面检查的问题中,我们可以判断客户端服务器已安装。 进入挖矿程序后,服务器被黑客入侵,导致阿里云安全部门警告存在挖矿过程。
事实证明,客户端的服务器上有一个挖矿木马。 让我们看一下top进程的屏幕截图:

阿里云ECS植入挖矿木马的处理和解析流程共享中


我们搜索了所占用进程的ID,发现文件位于linux系统tmp目录下。 我们强制删除该文件,并使用命令删除该进程以删除该进程。CPU立即下降了10%,挖掘的根源就在这里。 那么,黑客如何攻击服务器并挖掘木马程序呢? 从我们在SINE Security的多年安全经验来看,该客户的网站可能已被篡改。 我们立即在客户的网站上进行了全面的安全检查。 客户使用dedecms建站系统,开源php +mysql数据库架构,获取所有代码和图片。,检查了数据库的安全性,并意外发现了问题。 网站的根目录已上载webshell木马文件,并已咨询了客户。 该客户说他之前已经收到了阿里云的webshell后门提醒,但当时客户并不在意。服务器漏洞被植入挖掘木马程序中的根本原因是网站的漏洞。 我们已经手动修复了dedecms的代码漏洞,包括代码之前存在的远程代码执行漏洞,并且sql注入漏洞已进行了全面的漏洞修复,已经对网站的文件夹权限进行了安全部署,并且默认 dede后台帮助客户进行更改并增加网站背景的辅助密码保护。
清除特洛伊木马后门。 在服务器的计划任务中,攻击者添加了任务计划。 每次服务器重新启动并每隔1小时重新启动一次时,挖掘木马会自动执行,并删除定时任务计划。 检查linux系统用户,是否已添加其他根级管理员用户,但尚未添加。 检查服务器的反向链接,包括恶意端口是否还有其他IP链接,netstat-an检查所有端口的安全状态,发现没有植入远程特洛伊木马后门,并且客户端的端口安全性已部署 安全地。 使用iptables限制端口的流入和流出。
到目前为止,已经完全解决了在客户端服务器中挖掘木马的问题。 关于采矿木马的保护和解决方案,我们总结一下
几点:
定期对网站程序代码进行安全检查,检查webshell后门是否存在,定期升级网站的系统版本并修复漏洞,并对网站的后台登录进行二次密码验证,以防止网站的存在sql注入漏洞,由管理员获得的帐号密码登录到后台。 使用阿里云的端口安全策略打开80端口443端口,其余的ssh端口进行IP发布。 当您需要登录服务器时,请输入阿里云后端以添加已发布的IP,以尽可能防止服务器被恶意登录。如果您还遇到阿里云提示安装挖掘程序的服务器,请登录 ,您可以找到专业的服务器安全公司来处理它。SINESAFE,NSFOCUS,Venus Star等国内安全公司都比较好,希望我们能够解决这个问题。 可以帮助更多的人。

标签:windowsLinux系统SQL注入漏洞windows2008webshell木马文件443端口客户服务器CPUlinux系统用户webshell后门CPU监控记录服务器SSHdede后台iptablestop进程tmp目录netstatSSH端口mysql数据库架构ECS服务器80端口DEDEcms建站系统