最近，某個客戶的網(wǎng)站服務(wù)器被入侵，導(dǎo)致該服務(wù)器被植入特洛伊木馬病毒，并且重做系統(tǒng)沒有幫助。 目前，客戶的網(wǎng)站處于癱瘓狀態(tài)，損失很大。 通過朋友的介紹找到了SINESAFE，我們立即建立了安全應(yīng)急響應(yīng)。 該團隊針對客戶端服務(wù)器受到攻擊和黑客攻擊，進行了全面的安全檢測和保護部署。 記錄我們的整個安全過程，教您做好網(wǎng)站安全防護以及如何解決服務(wù)器入侵問題。
 

 

  首先，讓我們使用linux centos系統(tǒng)確認(rèn)客戶端的服務(wù)器，該網(wǎng)站以PHP語言開發(fā)，數(shù)據(jù)庫類型為mysql，并使用開源thinkphp架構(gòu)開發(fā)。 服務(wù)器配置為
16核，32G內(nèi)存和100M帶寬。 獨家使用阿里云ECS服務(wù)器。 在遭到黑客攻擊之前，我從阿里云收到了一條短消息，提示服務(wù)器登錄到其他位置。 我們的SINE安全技術(shù)與客戶對接了阿里云帳戶密碼和服務(wù)器IP，SSH端口，根帳戶密碼。 立即啟動服務(wù)器的安全緊急處理。

 

  登錄服務(wù)器后，我們發(fā)現(xiàn)CPU占用了90％以上的內(nèi)存，并且正在使用16核處理。 我們立即跟蹤了占用CPU的進程，發(fā)現(xiàn)看門狗進程正在占用服務(wù)器，這導(dǎo)致服務(wù)器凍結(jié)，并且無法打開客戶的網(wǎng)站。 檢查服務(wù)器帶寬占用100M，帶寬已滿。

 

  網(wǎng)站服務(wù)器被黑客入侵怎么辦

 

  起初，我認(rèn)為該網(wǎng)站受到DDOS流量攻擊。 通過我們詳細的安全分析和檢測，可以排除流量攻擊的可能性。 然后，當(dāng)我檢查與監(jiān)視程序關(guān)聯(lián)的進程時發(fā)現(xiàn)了問題。 服務(wù)器被入侵并植入了采礦木馬病毒。 植入特洛伊木馬的方法非常聰明。 它是完全隱藏的，肉眼無法檢測到。 它使用rootkit技術(shù)連續(xù)隱藏并生成特洛伊木馬。

 

  找到攻擊特征后，我們立即發(fā)現(xiàn)任務(wù)已添加到服務(wù)器的計劃任務(wù)中。  crontab每小時自動將SO文件下載到系統(tǒng)目錄中。  SO文件由我們的SINE安全部門下載并檢測到，并且被發(fā)現(xiàn)是特洛伊木馬的后門程序。 而且它仍然沒有被殺死，而是被植入系統(tǒng)過程中進行偽裝采礦。

 

  了解了特洛伊木馬的位置和來源后，我們將其強行刪除，修復(fù)了該過程，阻止特洛伊木馬自動運行，刪除了系統(tǒng)文件中的SO文件，使用目錄部署了防篡改部署，并殺死了惡意的KILL 采礦過程中，Linux服務(wù)器的安全性得到了加強。 那么，服務(wù)器究竟是如何植入特洛伊木馬并受到攻擊的呢？ 經(jīng)過兩天零兩夜的SINE安全持續(xù)安全檢查和分析，我們終于找到了服務(wù)器遭到攻擊的原因。 這是網(wǎng)站上的漏洞，導(dǎo)致webshel??l網(wǎng)站Trojan horse被上載，并留下了Trojan horse的字樣。 攻擊者直接通過該網(wǎng)站漏洞進行攻擊。 執(zhí)行篡改，將Trojan文件上載到網(wǎng)站的根目錄，并通過提高權(quán)限獲得服務(wù)器的root權(quán)限，然后植入挖掘的Trojan。

 

  首先，我們必須修復(fù)網(wǎng)站漏洞，對客戶網(wǎng)站代碼進行全面的安全檢查和分析，對上載功能以及sql注入，XSS跨站點和遠程執(zhí)行代碼漏洞進行安全測試，以及 發(fā)現(xiàn)客戶網(wǎng)站代碼具有上傳漏洞，立即修復(fù)它，限制上傳文件的類型，在沒有腳本執(zhí)行權(quán)限的情況下安全地部署上傳目錄，并不僅使用root帳戶密碼對客戶端的服務(wù)器登錄設(shè)置安全限制， 而且還需要證書才能登錄服務(wù)器。

 

  網(wǎng)站服務(wù)器被黑客入侵怎么辦

 

  如果服務(wù)器反復(fù)遭到黑客攻擊，建議找專業(yè)的網(wǎng)絡(luò)安全公司解決。  Sinesafe，NSFOCUS和Venus Star等國內(nèi)安全公司更加專業(yè)。 專業(yè)人士必須由專業(yè)人士完成。 到目前為止，服務(wù)器已受到攻擊。 問題已解決，客戶網(wǎng)站恢復(fù)正常。 我也希望通過上述方法可以解決更多遇到相同問題的服務(wù)器。