长亭百川云 - 文章详情

HVV迅速应对!突发服务器入侵,都在用这招...

Rivers.chaitin

7

2023-08-07

临近 HW,在梳理服务器风险时发现有一台服务器的资源占用近几天飙升。恰巧**「牧云·主机管理助手」**上线了 **“安全扫描功能”**支持入侵痕迹排查,在扫描后发现了大量告警。根据牧云·主机管理助手中的告警信息,迅速开展了入侵排查及后门清除等操作,迅速发现,及时制止。

服务器出现故障所带来的影响不容忽视。不仅影响用户体验,还可能造成财务损失,影响业务的正常运作。

在实际工作中,如何更快地察觉服务器故障,是很多人所困扰的。只有快速地意识到服务器的故障,才能迅速展开应对措施,避免损失进一步扩大。

接下来具体介绍一下安全扫描的过程。

产品体验地址👉rivers.chaitin.cn,点击免费开通牧云主机管理助手。

入侵排查:

一:牧云·主机管理助手进行安全扫描

二:挖矿处置,恢复业务

根据「挖矿进程」告警,发现性能下降是因为挖矿进程占用大量 CPU 资源。第一时间 kill 进程,恢复业务性能

三:入侵点确定

关联两条告警信息分析,推测入侵者使用「Redis 未授权访问漏洞」对服务器进行入侵

点击告警详情,查看判断依据,并在服务器上查看对应文件,内容一致,实锤入侵痕迹「SSH 认证公钥被 REDIS 恶意篡改」

后门清除

一:删除被篡改SSH 认证公钥


二:删除反弹 shell 定时任务!

三:根据反弹 shell 告警中进程信息,杀死对应进程


四:删除挖矿程序


结论:

  1. 告警信息内容与主机真实文件相同,无需登录主机研判每条告警

  2. 告警详情标注详细的「进程号」及「文件行号」等细节信息辅助研判

  3. 牧云·主机管理助手在线终端功能可直接打开 shell 进行排查及处置

总结一下,牧云·主机管理助手提供了完善的安全扫描体系,能够使系统免于受到黑客攻击,“安全扫描功能”在这次服务器入侵事件中做到了快速发现并定位入侵,如果拥有一台以上服务器,还可以使用牧云·主机管理助手进行批量管理监控,并且定期进行安全扫描,为服务器安全提供保障。

扫码加入用户交流群,第一时间获取产品最新讯息。

相关推荐
广告图
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2