近几年越来越多的web服务器被入侵,导致服务器嵌入木马病毒,即使重做系统也毫无帮助,因为网站已经瘫痪了,损失很大、少了很多流量和造成影响。此时你们需要找到一个网络安全公司,立即建立一个安全应急反应小组,针对客户端或者服务器被攻击、被黑的情况部署进行全面安全检测和保护。记录我们整个安全流程,教你如何防范服务器攻击,如何解决服务器被攻击的问题。
首先我们来确认下服务器,使用的是Linux centos系统,网站使用PHP语言开发、mysql数据库类型,使用二次开发的开源thinkphp框架,服务器配置是16核、32 g的内存、带宽100独享,使用ECS服务器,被黑客攻击之前,该服务商有发消息提示服务器远程登录,我们将安全技术带到客户的账号密码和服务器的IP、SSH端口、root账号密码。立即启动对服务器的安全进行应急处理。
登录服务器后我们发现CPU占用百分之90多,16核的处理都在使用当中,立即对占用CPU的进程进行追查发现是watchdogs进程占用着,导致服务器卡顿,网站无法打开状态,查看服务器的带宽使用占用到了100M,带宽全部被占满,一开始以为网站遭受到了DDoS流量攻击,通过我们的详细安全分析与检测,可以排除流量攻击的可能,再对watchdogs相关联的进程查看的时候发现了问题。服务器被入侵植入了木马病毒,植入木马的手法很高明,彻底的隐藏起来,肉眼根本无法察觉出来,采用的是rootkit的技术不断的隐藏与生成木马。
发现了攻击的特点,然后我们在服务器的计划任务中发现被增加其他任务,crontab自动下载每个小时所有文件到系统目录,所以文件下载下来后我们的技术员检测是木马后门,且是免死的,深入到系统进程里进行伪装挖矿。
我们知道木马的位置和来源,强行删除它,修复进程,防止木马自动运行,删除系统文件中的SO文件,部署目录防篡改,杀死恶意挖掘进程,保护Linux服务器。那么服务器中的木马是如何被植入的呢?之后经过我们技术安全员不间断的安全检查和分析终于发现了原因,服务器被攻击是网站漏洞,导致上传站点管理权限的网站木马,木马也留下了一个词,攻击者通过漏洞篡改木马文件直接上传到网站root目录,控制了服务器的root权限,在次植入木马。
服务器被攻击需要修复漏洞的网站,web客户代码的漏洞进行全面安全检查和分析;上传、SQL注入、跨站点XSS、远程代码执行漏洞安全测试,发现客户代码上传漏洞,要立即修复,限制上传文件类型,目录上传脚本执行权限安全安排,做客户端服务器登录安全限制,不仅使用根帐户密码,您还需要证书才能登录服务器。如果您的服务器多次被黑客攻击,请找专业的公司来解决网络安全问题;专业的事情需要专业的人来做。
