伺服器被黑如何排查處理
① 網站伺服器被攻擊了怎麼辦
網站伺服器被攻擊了,作為站長應按下述步驟正確應對:
立即關閉所有網站服務:
- 發現伺服器被入侵後,首要任務是立即關閉所有網站服務,暫停至少3小時。這雖然可能帶來短期損失,但相比一個可能被黑客修改的釣魚網站對客戶造成的損失,關閉網站是更明智的選擇。
- 可以將網站暫時跳轉到一個單頁面,發布網站維護公告,以通知用戶。
下載伺服器日誌並進行全盤殺毒掃描:
- 下載伺服器日誌,對伺服器進行全盤殺毒掃描,以確認黑客是否在伺服器上安裝了後門木馬程序。
- 分析系統日誌,找出黑客是通過哪個網站、哪個漏洞入侵到伺服器的。保存黑客掛馬的網址、被篡改的黑頁面截圖,以及黑客可能留下的個人IP或代理IP地址。
更新系統補丁:
關閉並刪除可疑係統帳號:
- 關閉並刪除所有可疑的系統帳號,特別是具有高許可權的系統賬戶。
- 重新為所有網站目錄配置許可權,關閉可執行的目錄許可權,對圖片和非腳本目錄做無許可權處理。
修改管理員賬戶密碼:
- 修改管理員賬戶密碼,以及資料庫管理密碼,特別是sql的sa密碼和mysql的root密碼。
- 這些賬戶具有特殊許可權,黑客可能通過它們獲得系統許可權。
檢查並修復網站程序:
- 對網站程序進行檢查,特別是那些可以進行上傳、寫入shell的地方。
- 配合日誌分析,修復所有可能的漏洞。
此外,預防網站伺服器被攻擊也是至關重要的:
- 選擇一個靠譜的伺服器商,可以降低伺服器被黑的幾率。
- 定期對伺服器和網站程序進行安全檢查和更新。
- 加強用戶密碼管理,避免使用弱密碼。
- 限制對伺服器的訪問許可權,只允許必要的IP地址訪問。
② 雲伺服器被黑客攻擊,提示用來挖礦!怎麼辦
昨天下午,一位朋友告訴我他的伺服器被阿里雲檢測到在進行挖礦活動,並且阿里雲官方已經將伺服器關閉。無需慌張,解決這類問題的最簡單方式是在阿里雲平台提交工單,詳細描述相關問題。在解禁伺服器後,需要在三日內找到並刪除挖礦程序,否則伺服器可能再次被封禁,且無法再次解封,情況可能會導致伺服器被官方回收。
在排查問題時,我們首先關注了阿里雲提供的漏洞管理監測,發現確實存在一個漏洞,即Redis未授權弱口令。通過網路查詢,我們了解到,攻擊者可能通過Redis向系統注入本地公鑰到伺服器的/root/.ssh/authorized_keys文件中,從而在本地免密登錄伺服器。這一問題的主要原因包括:Redis設置了遠程訪問(公網訪問)、未設置密碼或使用簡單密碼等。因此,如果伺服器安裝了Redis,應避免遠程登錄,設置復雜且不易在網路中找到的密碼,並更改埠以提高安全性。此外,避免使用root用戶啟動Redis,以防止遠程登錄後對root許可權進行操作。
在進一步查找問題時,我們發現登錄密碼在阿里雲客服工單中提供。這表明,朋友之前因更改登錄密碼後無法遠程連接,從而尋求客服協助修改遠程連接密碼。設置的密碼可能是常見的阿里雲2021@zSS,這可能是密碼被破解或泄露的原因,導致挖礦程序入侵伺服器。
找到挖礦程序的關鍵是識別和刪除相關定時任務。在Linux系統中,通常使用crontab設置定時任務。通過執行crontab -e命令編輯root用戶的crontab文件,我們可以查找是否存在可疑的定時任務。例如,發現了一個包含網址和IP地址的腳本,其內容為下載並執行名為a.sh的文件。
在解決挖礦程序時,首先可以通過crontab -e查看並刪除與挖礦相關的定時任務。接著,需要對/etc/crontab文件進行檢查,以確保未存在其他隱藏的挖礦配置。在清除所有相關文件後,應重新檢查伺服器是否被重新感染。此外,還需注意挖礦腳本可能包含的復雜操作,如卸載安全防護、修改系統配置等。
清理挖礦程序後,建議重置系統作為最簡單的方法。在阿里雲控制台中,停止伺服器並更換操作系統。更換過程中,應仔細閱讀提示信息,並根據需要選擇與之前相同的配置。重置後,遠程登錄伺服器並檢查crontab配置是否正常。最後,監控伺服器的CPU使用情況,確保恢復正常狀態。
為了加強伺服器的安全防範,建議以下幾點措施:
1. 初次接觸或對雲伺服器不熟悉的讀者可使用寶塔面板進行伺服器管理和操作。
2. 對所有安裝的應用服務,應避免使用默認埠號,並為這些服務設置復雜密碼,可以使用1password.com等工具生成隨機密碼。
3. 保持系統自帶的防火牆和安全防護功能開啟,以提供基礎的安全保障。
通過這些步驟和建議,可以有效地識別、防範和解決伺服器被黑客攻擊並用於挖礦的問題,保護伺服器的安全性。