最近，某個(gè)客戶的網(wǎng)站服務(wù)器被入侵，導(dǎo)致該服務(wù)器被植入特洛伊木馬病毒，并且重做系統(tǒng)沒(méi)有幫助。 目前，客戶的網(wǎng)站處于癱瘓狀態(tài)，損失很大。 通過(guò)朋友的介紹找到了SINESAFE，我們立即建立了安全應(yīng)急響應(yīng)。 該團(tuán)隊(duì)針對(duì)客戶端服務(wù)器受到攻擊和黑客攻擊，進(jìn)行了全面的安全檢測(cè)和保護(hù)部署。 記錄我們的整個(gè)安全過(guò)程，教您做好網(wǎng)站安全防護(hù)以及如何解決服務(wù)器入侵問(wèn)題。
 

 

  首先，讓我們使用linux centos系統(tǒng)確認(rèn)客戶端的服務(wù)器，該網(wǎng)站以PHP語(yǔ)言開(kāi)發(fā)，數(shù)據(jù)庫(kù)類型為mysql，并使用開(kāi)源thinkphp架構(gòu)開(kāi)發(fā)。 服務(wù)器配置為
16核，32G內(nèi)存和100M帶寬。 獨(dú)家使用阿里云ECS服務(wù)器。 在遭到黑客攻擊之前，我從阿里云收到了一條短消息，提示服務(wù)器登錄到其他位置。 我們的SINE安全技術(shù)與客戶對(duì)接了阿里云帳戶密碼和服務(wù)器IP，SSH端口，根帳戶密碼。 立即啟動(dòng)服務(wù)器的安全緊急處理。

 

  登錄服務(wù)器后，我們發(fā)現(xiàn)CPU占用了90％以上的內(nèi)存，并且正在使用16核處理。 我們立即跟蹤了占用CPU的進(jìn)程，發(fā)現(xiàn)看門狗進(jìn)程正在占用服務(wù)器，這導(dǎo)致服務(wù)器凍結(jié)，并且無(wú)法打開(kāi)客戶的網(wǎng)站。 檢查服務(wù)器帶寬占用100M，帶寬已滿。

 

  網(wǎng)站服務(wù)器被黑客入侵怎么辦

 

  起初，我認(rèn)為該網(wǎng)站受到DDOS流量攻擊。 通過(guò)我們?cè)敿?xì)的安全分析和檢測(cè)，可以排除流量攻擊的可能性。 然后，當(dāng)我檢查與監(jiān)視程序關(guān)聯(lián)的進(jìn)程時(shí)發(fā)現(xiàn)了問(wèn)題。 服務(wù)器被入侵并植入了采礦木馬病毒。 植入特洛伊木馬的方法非常聰明。 它是完全隱藏的，肉眼無(wú)法檢測(cè)到。 它使用rootkit技術(shù)連續(xù)隱藏并生成特洛伊木馬。

 

  找到攻擊特征后，我們立即發(fā)現(xiàn)任務(wù)已添加到服務(wù)器的計(jì)劃任務(wù)中。  crontab每小時(shí)自動(dòng)將SO文件下載到系統(tǒng)目錄中。  SO文件由我們的SINE安全部門下載并檢測(cè)到，并且被發(fā)現(xiàn)是特洛伊木馬的后門程序。 而且它仍然沒(méi)有被殺死，而是被植入系統(tǒng)過(guò)程中進(jìn)行偽裝采礦。

 

  了解了特洛伊木馬的位置和來(lái)源后，我們將其強(qiáng)行刪除，修復(fù)了該過(guò)程，阻止特洛伊木馬自動(dòng)運(yùn)行，刪除了系統(tǒng)文件中的SO文件，使用目錄部署了防篡改部署，并殺死了惡意的KILL 采礦過(guò)程中，Linux服務(wù)器的安全性得到了加強(qiáng)。 那么，服務(wù)器究竟是如何植入特洛伊木馬并受到攻擊的呢？ 經(jīng)過(guò)兩天零兩夜的SINE安全持續(xù)安全檢查和分析，我們終于找到了服務(wù)器遭到攻擊的原因。 這是網(wǎng)站上的漏洞，導(dǎo)致webshel??l網(wǎng)站Trojan horse被上載，并留下了Trojan horse的字樣。 攻擊者直接通過(guò)該網(wǎng)站漏洞進(jìn)行攻擊。 執(zhí)行篡改，將Trojan文件上載到網(wǎng)站的根目錄，并通過(guò)提高權(quán)限獲得服務(wù)器的root權(quán)限，然后植入挖掘的Trojan。

 

  首先，我們必須修復(fù)網(wǎng)站漏洞，對(duì)客戶網(wǎng)站代碼進(jìn)行全面的安全檢查和分析，對(duì)上載功能以及sql注入，XSS跨站點(diǎn)和遠(yuǎn)程執(zhí)行代碼漏洞進(jìn)行安全測(cè)試，以及 發(fā)現(xiàn)客戶網(wǎng)站代碼具有上傳漏洞，立即修復(fù)它，限制上傳文件的類型，在沒(méi)有腳本執(zhí)行權(quán)限的情況下安全地部署上傳目錄，并不僅使用root帳戶密碼對(duì)客戶端的服務(wù)器登錄設(shè)置安全限制， 而且還需要證書才能登錄服務(wù)器。

 

  網(wǎng)站服務(wù)器被黑客入侵怎么辦

 

  如果服務(wù)器反復(fù)遭到黑客攻擊，建議找專業(yè)的網(wǎng)絡(luò)安全公司解決。  Sinesafe，NSFOCUS和Venus Star等國(guó)內(nèi)安全公司更加專業(yè)。 專業(yè)人士必須由專業(yè)人士完成。 到目前為止，服務(wù)器已受到攻擊。 問(wèn)題已解決，客戶網(wǎng)站恢復(fù)正常。 我也希望通過(guò)上述方法可以解決更多遇到相同問(wèn)題的服務(wù)器。