记一次入侵处理 原
2019-05-14,终于自己也经历一次服务器被挖矿的事件。
之前,听道友们讲Linux服务器被入侵、被挂马等等,当时感觉很不可思议,怎么会轻轻松松被入侵呢?安全防护得多low!(不过,这次并未打脸,被入侵的是大数据的机器,不归运维管理)
情景是这样的,早上上班老大告诉我说手机收到告警,提示有xxx疑似挖矿程序入侵了xxx和xxx机器。马上进入状态,查看对应服务器信息,竟然是大数据那边的,坑人的是通过运维的中控机不能ssh。赶紧联系大数据负责人,授权中控机root访问权限。登陆机器,根据以往经验,开始排查:
查看服务器负载,如果被挖矿负载应该很高才对:
不出所料,负载已经跑满。
赶紧看一下到底是哪个进程,使用top查看到一个名为donatexxx的进程占用CPU最高。第一时间找大数据人员进行核对,确定就是这个进程!干掉?No!并没有立马将其杀死,而是查看进程信息:
查看一下上面的ip地址,来自芬兰!
让大数据同事在所有大数据机器上执行netstat -anp |grep '95.216.44.240' 确认其他机器没被入侵,然后才对这个进程做了处理。
- 清理定时任务;
- 清理进程启动文件
- kill进程
- 封锁对于ip
在上面的排查过程中没有找到其他痕迹,安全起见,在安全组将这个ip封掉。
反思:
- 为什么所有机器都配置外网呢?
- 查看安全组,发现端口开放粒度也比较大。
- 能不能去掉公网ip?
- 或者说能不能对公网ip做收敛?开一公网,其他的通过代理去访问?
还好被入侵的只是测试机器,而且只是用来做一些简单的日志分析,目前来看没有造成什么损失。不过,既然出现这样的情况,就应该好好反思一下:
是否哪里存在其他的安全风险?
公司的安全建设是否到位?
对于系列安全风险,感知是否足够灵敏?
等等一系列问题都应该好好想一想...
楼主也是第一次处理类似的事情,而且对于安全相关的知识了解的也知识皮毛,内容存在很多的瑕疵,大家有什么好的建议希望留言补充,谢谢! 不喜勿喷!
(adsbygoogle = window.adsbygoogle || []).push({});