高能预警！突发服务器入侵，学会这招快速解决

临近 HW，在梳理服务器风险时发现有一台服务器的资源占用近几天飙升。恰巧「牧云·主机管理助手」上线了 “安全扫描功能” 支持入侵痕迹排查，在扫描后发现了大量告警。根据牧云·主机管理助手中的告警信息，迅速开展了入侵排查及后门清除等操作，迅速发现，及时制止。

服务器出现故障所带来的影响不容忽视。不仅影响用户体验，还可能造成财务损失，影响业务的正常运作。

在实际工作中，如何更快地察觉服务器故障，是很多人所困扰的。只有快速地意识到服务器的故障，才能迅速展开应对措施，避免损失进一步扩大。

接下来具体介绍一下安全扫描的过程。

产品体验地址👉rivers.chaitin.cn，点击免费开通牧云主机管理助手。

入侵排查：

一：牧云·主机管理助手进行安全扫描

二：挖矿处置，恢复业务

根据「挖矿进程」告警，发现性能下降是因为挖矿进程占用大量 CPU 资源。第一时间 kill 进程，恢复业务性能

三：入侵点确定

关联两条告警信息分析，推测入侵者使用「Redis 未授权访问漏洞」对服务器进行入侵

点击告警详情，查看判断依据，并在服务器上查看对应文件，内容一致，实锤入侵痕迹「SSH 认证公钥被 REDIS 恶意篡改」

后门清除

一：删除被篡改 SSH 认证公钥

二：删除反弹 shell 定时任务

三：根据反弹 shell 告警中进程信息，杀死对应进程

四：删除挖矿程序

结论：

1. 告警信息内容与主机真实文件相同，无需登录主机研判每条告警

2. 告警详情标注详细的「进程号」及「文件行号」等细节信息辅助研判

3. 牧云·主机管理助手在线终端功能可直接打开 shell 进行排查及处置

总结一下，牧云·主机管理助手提供了完善的安全扫描体系，能够使系统免于受到黑客攻击，“安全扫描功能”在这次服务器入侵事件中做到了快速发现并定位入侵，如果拥有一台以上服务器，还可以使用牧云·主机管理助手进行批量管理监控，并且定期进行安全扫描，为服务器安全提供保障。

扫码加入用户交流群，第一时间获取产品最新讯息，反馈 bug 与需求更有机会获得现金红包奖励。