记一次入侵处理 原

2019-05-14,终于自己也经历一次服务器被挖矿的事件。

之前,听道友们讲Linux服务器被入侵、被挂马等等,当时感觉很不可思议,怎么会轻轻松松被入侵呢?安全防护得多low!(不过,这次并未打脸,被入侵的是大数据的机器,不归运维管理)

情景是这样的,早上上班老大告诉我说手机收到告警,提示有xxx疑似挖矿程序入侵了xxx和xxx机器。马上进入状态,查看对应服务器信息,竟然是大数据那边的,坑人的是通过运维的中控机不能ssh。赶紧联系大数据负责人,授权中控机root访问权限。登陆机器,根据以往经验,开始排查:

查看服务器负载,如果被挖矿负载应该很高才对:

不出所料,负载已经跑满。

赶紧看一下到底是哪个进程,使用top查看到一个名为donatexxx的进程占用CPU最高。第一时间找大数据人员进行核对,确定就是这个进程!干掉?No!并没有立马将其杀死,而是查看进程信息:

查看一下上面的ip地址,来自芬兰!

让大数据同事在所有大数据机器上执行netstat -anp |grep '95.216.44.240' 确认其他机器没被入侵,然后才对这个进程做了处理。

  • 清理定时任务;
  • 清理进程启动文件
  • kill进程
  • 封锁对于ip

在上面的排查过程中没有找到其他痕迹,安全起见,在安全组将这个ip封掉。

反思:

  • 为什么所有机器都配置外网呢?
  • 查看安全组,发现端口开放粒度也比较大。
  • 能不能去掉公网ip?
  • 或者说能不能对公网ip做收敛?开一公网,其他的通过代理去访问?

还好被入侵的只是测试机器,而且只是用来做一些简单的日志分析,目前来看没有造成什么损失。不过,既然出现这样的情况,就应该好好反思一下:

是否哪里存在其他的安全风险?

公司的安全建设是否到位?

对于系列安全风险,感知是否足够灵敏?

等等一系列问题都应该好好想一想...

楼主也是第一次处理类似的事情,而且对于安全相关的知识了解的也知识皮毛,内容存在很多的瑕疵,大家有什么好的建议希望留言补充,谢谢! 不喜勿喷!

(adsbygoogle = window.adsbygoogle || []).push({});

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券