写点什么

高能预警!突发服务器入侵,学会这招快速解决

  • 2023-08-07
    浙江
  • 本文字数:802 字

    阅读完需:约 3 分钟

高能预警!突发服务器入侵,学会这招快速解决

临近 HW,在梳理服务器风险时发现有一台服务器的资源占用近几天飙升。恰巧「牧云·主机管理助手」上线了 “安全扫描功能” 支持入侵痕迹排查,在扫描后发现了大量告警。根据牧云·主机管理助手中的告警信息,迅速开展了入侵排查及后门清除等操作,迅速发现,及时制止


服务器出现故障所带来的影响不容忽视。不仅影响用户体验,还可能造成财务损失,影响业务的正常运作。


在实际工作中,如何更快地察觉服务器故障,是很多人所困扰的。只有快速地意识到服务器的故障,才能迅速展开应对措施,避免损失进一步扩大。


接下来具体介绍一下安全扫描的过程。


产品体验地址👉rivers.chaitin.cn,点击免费开通牧云主机管理助手。

入侵排查:

一:牧云·主机管理助手进行安全扫描

二:挖矿处置,恢复业务

根据「挖矿进程」告警,发现性能下降是因为挖矿进程占用大量 CPU 资源。第一时间 kill 进程,恢复业务性能



三:入侵点确定

关联两条告警信息分析,推测入侵者使用「Redis 未授权访问漏洞」对服务器进行入侵



点击告警详情,查看判断依据,并在服务器上查看对应文件,内容一致,实锤入侵痕迹「SSH 认证公钥被 REDIS 恶意篡改」



后门清除

一:删除被篡改 SSH 认证公钥

二:删除反弹 shell 定时任务

三:根据反弹 shell 告警中进程信息,杀死对应进程

四:删除挖矿程序

结论:

  1. 告警信息内容与主机真实文件相同,无需登录主机研判每条告警

  2. 告警详情标注详细的「进程号」及「文件行号」等细节信息辅助研判

  3. 牧云·主机管理助手在线终端功能可直接打开 shell 进行排查及处置


总结一下,牧云·主机管理助手提供了完善的安全扫描体系,能够使系统免于受到黑客攻击,“安全扫描功能”在这次服务器入侵事件中做到了快速发现并定位入侵,如果拥有一台以上服务器,还可以使用牧云·主机管理助手进行批量管理监控,并且定期进行安全扫描,为服务器安全提供保障。


扫码加入用户交流群,第一时间获取产品最新讯息,反馈 bug 与需求更有机会获得现金红包奖励。



用户头像

https://rivers.chaitin.cn 2023-03-10 加入

面向技术爱好者(安全/研发/运维)的SaaS产品服务

评论

发布
暂无评论
高能预警!突发服务器入侵,学会这招快速解决_运维_百川云开发者_InfoQ写作社区