近日,某客户端网站服务器被入侵,导致服务器被植入木马病毒。重做系统将无济于事。目前,客户网站处于瘫痪状态,损失巨大。通过朋友的介绍,我们找到了纵横数据。我们立即成立了安全应急小组,对客户端服务器的攻击和断电进行全面的安全检测和防护部署,记录我们的整个安全过程,教您如何防止服务器被攻击,如何解决网站服务器被入侵的问题。
首先,让我们确认客户机的服务器是Linux CentOS系统,网站是用PHP语言开发的。数据库类型是mysql,它是使用开源thinkph架构二次开发的。服务器配置为16核、32g内存和100m带宽。使用阿里云ECS服务器。在被黑客攻击前,会收到阿里云短信,提示服务器异地登录。我们的sine安全技术与客户阿里云服务器的账号密码、IP、SSH端口和根账号密码相连接。立即启动服务器的安全应急处理。
登录网站服务器后发现,CPU占用率超过90%,16核的处理正在使用中。我们立即跟踪CPU占用进程,发现看门狗进程被占用,导致服务器堵塞,客户网站无法打开。我们检查了一下,服务器的带宽占用了100米,带宽都被占用了。首先,我们认为该网站遭受了DDoS流量攻击,通过我们详细的安全分析和检测,我们可以排除流量攻击的可能性,然后在查看与看门狗相关的进程时发现问题。网站服务器已植入挖掘特洛伊木马病毒。嵌入特洛伊木马的方法非常聪明。它是完全隐藏的,肉眼看不到。rootkit技术被用来不断地隐藏和生成木马。
在找到攻击特征后,我们发现这些任务已添加到服务器的计划任务中。Crontab每小时自动将so文件下载到系统目录。下载so文件后,我们的sine安全部门检测到它是一个特洛伊木马后门,而且仍然没有杀戮,并将其植入系统进程进行伪装挖掘。
了解木马的位置和来源,强制删除,修复进程,阻止木马自动运行,删除系统文件中的so文件,部署目录防篡改,杀死kill恶意挖掘进程,加强Linux服务器。那么,网站服务器是如何植入木马并受到攻击的呢?经过连续两天两夜的sine安全检测和分析,我们终于找到了网站服务器被攻击的原因。正是网站的漏洞导致了webshell网站木马的上载和word木马的保留。攻击者通过该网站的漏洞直接篡改并上传木马文件到该网站的根目录中,并提出获得服务器的根权限,然后种植挖掘木马。
如何防止服务器受到攻击和入侵
首先,我们需要修复网站服务器漏洞,对客户网站代码进行全面的安全检测和分析,对上传功能、SQL注入、XSS跨站点、远程代码执行漏洞进行安全测试,发现客户网站代码存在上传漏洞,立即修复,限制上载的文件类型,并且在安全部署中对上载的目录不执行脚本执行权限,客户端的服务器登录将受到限制。不仅使用根帐户密码,还需要证书才能登录到服务器。如果服务器多次遭到黑客攻击,建议找专业的网络安全公司解决。中国平安、绿蒙、启明兴辰等国内证券公司也很专业。专业的东西需要专业的人。目前,网站服务器被攻击的问题已经得到解决,客户网站恢复正常。我们希望更多遇到同样问题的网站服务器能够通过面对面的解决方案。