最近,某个客户的网站服务器被入侵,导致该服务器被植入特洛伊木马病毒,并且重做系统没有帮助。 目前,客户的网站处于瘫痪状态,损失很大。 通过朋友的介绍找到了SINESAFE,我们立即建立了安全应急响应。 该团队针对客户端服务器受到攻击和黑客攻击,进行了全面的安全检测和保护部署。 记录我们的整个安全过程,教您做好
网站安全防护以及如何解决服务器入侵问题。
首先,让我们使用linux centos系统确认客户端的服务器,该网站以PHP语言开发,数据库类型为mysql,并使用开源thinkphp架构开发。 服务器配置为
16核,32G内存和100M带宽。 独家使用阿里云ECS服务器。 在遭到黑客攻击之前,我从阿里云收到了一条短消息,提示服务器登录到其他位置。 我们的SINE安全技术与客户对接了阿里云帐户密码和服务器IP,SSH端口,根帐户密码。 立即启动服务器的安全紧急处理。
登录服务器后,我们发现CPU占用了90%以上的内存,并且正在使用16核处理。 我们立即跟踪了占用CPU的进程,发现看门狗进程正在占用服务器,这导致服务器冻结,并且无法打开客户的网站。 检查服务器带宽占用100M,带宽已满。
网站服务器被黑客入侵怎么办
起初,我认为该网站受到DDOS流量攻击。 通过我们详细的安全分析和检测,可以排除流量攻击的可能性。 然后,当我检查与监视程序关联的进程时发现了问题。 服务器被入侵并植入了采矿木马病毒。 植入特洛伊木马的方法非常聪明。 它是完全隐藏的,肉眼无法检测到。 它使用rootkit技术连续隐藏并生成特洛伊木马。
找到攻击特征后,我们立即发现任务已添加到服务器的计划任务中。 crontab每小时自动将SO文件下载到系统目录中。 SO文件由我们的SINE安全部门下载并检测到,并且被发现是特洛伊木马的后门程序。 而且它仍然没有被杀死,而是被植入系统过程中进行伪装采矿。
了解了特洛伊木马的位置和来源后,我们将其强行删除,修复了该过程,阻止特洛伊木马自动运行,删除了系统文件中的SO文件,使用目录部署了防篡改部署,并杀死了恶意的KILL 采矿过程中,Linux服务器的安全性得到了加强。 那么,服务器究竟是如何植入特洛伊木马并受到攻击的呢? 经过两天零两夜的SINE安全持续安全检查和分析,我们终于找到了服务器遭到攻击的原因。 这是网站上的漏洞,导致webshell网站Trojan horse被上载,并留下了Trojan horse的字样。 攻击者直接通过该网站漏洞进行攻击。 执行篡改,将Trojan文件上载到网站的根目录,并通过提高权限获得服务器的root权限,然后植入挖掘的Trojan。
首先,我们必须修复网站漏洞,对客户网站代码进行全面的安全检查和分析,对上载功能以及sql注入,XSS跨站点和远程执行代码漏洞进行安全测试,以及 发现客户网站代码具有上传漏洞,立即修复它,限制上传文件的类型,在没有脚本执行权限的情况下安全地部署上传目录,并不仅使用root帐户密码对客户端的服务器登录设置安全限制, 而且还需要证书才能登录服务器。
网站服务器被黑客入侵怎么办
如果服务器反复遭到黑客攻击,建议找专业的网络安全公司解决。 Sinesafe,NSFOCUS和Venus Star等国内安全公司更加专业。 专业人士必须由专业人士完成。 到目前为止,服务器已受到攻击。 问题已解决,客户网站恢复正常。 我也希望通过上述方法可以解决更多遇到相同问题的服务器。
营业许可备案:粤ICP备18127368号-1