服务器被黑如何排查处理
① 网站服务器被攻击了怎么办
网站服务器被攻击了,作为站长应按下述步骤正确应对:
立即关闭所有网站服务:
- 发现服务器被入侵后,首要任务是立即关闭所有网站服务,暂停至少3小时。这虽然可能带来短期损失,但相比一个可能被黑客修改的钓鱼网站对客户造成的损失,关闭网站是更明智的选择。
- 可以将网站暂时跳转到一个单页面,发布网站维护公告,以通知用户。
下载服务器日志并进行全盘杀毒扫描:
- 下载服务器日志,对服务器进行全盘杀毒扫描,以确认黑客是否在服务器上安装了后门木马程序。
- 分析系统日志,找出黑客是通过哪个网站、哪个漏洞入侵到服务器的。保存黑客挂马的网址、被篡改的黑页面截图,以及黑客可能留下的个人IP或代理IP地址。
更新系统补丁:
关闭并删除可疑系统帐号:
- 关闭并删除所有可疑的系统帐号,特别是具有高权限的系统账户。
- 重新为所有网站目录配置权限,关闭可执行的目录权限,对图片和非脚本目录做无权限处理。
修改管理员账户密码:
- 修改管理员账户密码,以及数据库管理密码,特别是sql的sa密码和mysql的root密码。
- 这些账户具有特殊权限,黑客可能通过它们获得系统权限。
检查并修复网站程序:
- 对网站程序进行检查,特别是那些可以进行上传、写入shell的地方。
- 配合日志分析,修复所有可能的漏洞。
此外,预防网站服务器被攻击也是至关重要的:
- 选择一个靠谱的服务器商,可以降低服务器被黑的几率。
- 定期对服务器和网站程序进行安全检查和更新。
- 加强用户密码管理,避免使用弱密码。
- 限制对服务器的访问权限,只允许必要的IP地址访问。
② 云服务器被黑客攻击,提示用来挖矿!怎么办
昨天下午,一位朋友告诉我他的服务器被阿里云检测到在进行挖矿活动,并且阿里云官方已经将服务器关闭。无需慌张,解决这类问题的最简单方式是在阿里云平台提交工单,详细描述相关问题。在解禁服务器后,需要在三日内找到并删除挖矿程序,否则服务器可能再次被封禁,且无法再次解封,情况可能会导致服务器被官方回收。
在排查问题时,我们首先关注了阿里云提供的漏洞管理监测,发现确实存在一个漏洞,即Redis未授权弱口令。通过网络查询,我们了解到,攻击者可能通过Redis向系统注入本地公钥到服务器的/root/.ssh/authorized_keys文件中,从而在本地免密登录服务器。这一问题的主要原因包括:Redis设置了远程访问(公网访问)、未设置密码或使用简单密码等。因此,如果服务器安装了Redis,应避免远程登录,设置复杂且不易在网络中找到的密码,并更改端口以提高安全性。此外,避免使用root用户启动Redis,以防止远程登录后对root权限进行操作。
在进一步查找问题时,我们发现登录密码在阿里云客服工单中提供。这表明,朋友之前因更改登录密码后无法远程连接,从而寻求客服协助修改远程连接密码。设置的密码可能是常见的阿里云2021@zSS,这可能是密码被破解或泄露的原因,导致挖矿程序入侵服务器。
找到挖矿程序的关键是识别和删除相关定时任务。在Linux系统中,通常使用crontab设置定时任务。通过执行crontab -e命令编辑root用户的crontab文件,我们可以查找是否存在可疑的定时任务。例如,发现了一个包含网址和IP地址的脚本,其内容为下载并执行名为a.sh的文件。
在解决挖矿程序时,首先可以通过crontab -e查看并删除与挖矿相关的定时任务。接着,需要对/etc/crontab文件进行检查,以确保未存在其他隐藏的挖矿配置。在清除所有相关文件后,应重新检查服务器是否被重新感染。此外,还需注意挖矿脚本可能包含的复杂操作,如卸载安全防护、修改系统配置等。
清理挖矿程序后,建议重置系统作为最简单的方法。在阿里云控制台中,停止服务器并更换操作系统。更换过程中,应仔细阅读提示信息,并根据需要选择与之前相同的配置。重置后,远程登录服务器并检查crontab配置是否正常。最后,监控服务器的CPU使用情况,确保恢复正常状态。
为了加强服务器的安全防范,建议以下几点措施:
1. 初次接触或对云服务器不熟悉的读者可使用宝塔面板进行服务器管理和操作。
2. 对所有安装的应用服务,应避免使用默认端口号,并为这些服务设置复杂密码,可以使用1password.com等工具生成随机密码。
3. 保持系统自带的防火墙和安全防护功能开启,以提供基础的安全保障。
通过这些步骤和建议,可以有效地识别、防范和解决服务器被黑客攻击并用于挖矿的问题,保护服务器的安全性。