第一次服务器被攻击

发表于 | 分类于 |

喏~ 2021-12-24 买的云服务器,处理不当,被攻击了~
下面记录一下,事情经过~

起因

  1. 我服务器就用Docker启动一个MySQL,前两天刚买的。今天突然发现三高了: 

    1
    2
    3
    4
    5
    CPU:已用60%
    内存:已用85%
    流量:已用100GB

    我是2核4G,1200G流量。

    在这里插入图片描述

  2. 开始检查
    发现服务器 netstat 命令都不能使用了,whoami 看一下,我可是 root 角色啊,应该是被灌入了木马。
    使用 top命令,大写的PCPU排序一下,没用多少CPU啊,再大写的M内存排序一下,就一个MySQL占用百分之十内存啊。
    因为是隐藏进程~(入侵后,top命令查看情况)
    在这里插入图片描述

  3. 找客服要解决方案
    在这里插入图片描述

  4. 客服发送工具:busybox top命令执行情况(这些文件还删除不了,rm -rf 也不行,木马脚本篡改了我的root权限。)
    关于busybox工具,参考地址:busybox 查看隐藏进程
    在这里插入图片描述

  5. 最终客服说:重装系统吧,整个系统被破坏了。我心想:“还好没有重要数据,那就重装系统吧”
    【执行重装系统之前,我把MySQL数据库备份了一下,就这一个重要的东西,其他都是临时文件】
    在这里插入图片描述

解决流程

  1. 重置密码(改为安全系数高的)
    在这里插入图片描述

  2. 再把防火墙进行设置(遵守规范)
    在这里插入图片描述

  3. 重装系统之后,先执行以下命令:

    1
    2
    3
    4
    5
    6
    # 重装系统,先删除 tmp 目录
    rm -rf /tmp/*
    rm -rf /var/tmp/*

    # 腾讯云客服,要求我安装这个(说是安全之类的)
    wget http://u.yd.tencentyun.com/ydeyes/download/ydeyes_linux64_4.0.2.24.tar.gz -O ydeyes_linux64.tar.gz && tar -zxvf ydeyes_linux64.tar.gz && ./self_cloud_install_linux64.sh

  4. 执行初始化(仅备注给自己看)

    1
    2
    3
    4
    5
    初始化Linux
    Docker安装
    IDEA Docker 2375端口
    blog初始化
    启动对应容器

  5. 创建快照
    在这里插入图片描述

腾讯云:安全加固参考建议v1.1(客服发送)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
安全加固参考指引:
1)设置用户(系统用户、应用平台用户、组件管理后台用户等)口令复杂度,口令设置大写、小写、特殊字符、数字三种任意组合,
长度不低于12位,连续字符(包括数字、字母、键盘连续)不能超过二位;设置口令生命周期,建议90天修改一次。
配置参考链接:https://cloud.tencent.com/developer/article/1624229
设置账户错误失败锁定,如账户登录失败5次锁定10分钟等。

2)清理僵尸用户,禁用或删除服务器上设置的不需要的用户

3)修改远程登录服务的默认端口号以及禁止超级管理员用户登陆
Windows远程端口修改参考文档:https://cloud.tencent.com/developer/article/1052163
Linux远程端口修改参考文档:https://cloud.tencent.com/developer/article/1124500

4)较为安全的方法:只使用密钥登录禁止密码登陆 (针对Linux系统)

5)腾讯云平台有安全组功能,入站规则仅开放必要的业务端口(如80、443),不建议向互联网开放管理端口(如:6379、3306、1433、2379、22、3389等),
如需要对互联网开放管理端口,必须配置IP白名单,出站方向如无外访问需求,建议全部拒绝,仅放开对主机安全的访问需求
------------
【目的IP169.254.0.55,
目的端口5574、8080、80、9080,
主机安全hosts文件域名绑定IP,vpc网络,
域名域名:s.yd.qcloud.com; l.yd.qcloud.com; u.yd.qcloud.com,ip169.254.0.55,
linux配置方法:vi  /etc/hosts】

169.254.0.55  s.yd.qcloud.com
169.254.0.55  l.yd.qcloud.com
169.254.0.55  u.yd.qcloud.com
------------
参考文档: 
https://cloud.tencent.com/document/product/215/20398

6)操作云服务器系统防火墙,必要的时候开启下防火墙做些安全规则

7)云服务器安装并确保防护软件主机安全专业版(云镜)的正常运行,并添加实时告警,有异常登录时,及时反馈到您,
安装参考文档:https://cloud.tencent.com/document/product/296/12236
下载链接:
https://console.cloud.tencent.com/cwp/asset/machine/install/window
https://console.cloud.tencent.com/cwp/asset/machine/install/linux

8)不安装存在漏洞的组件及框架,建议使用最新版本的或最新稳定版本的组件及框架,即时安装安全补丁修复已知漏洞。

9)主机安全定期检测漏洞、定期检查安全基线,并及时修复:https://cloud.tencent.com/document/product/296/46954

10)网站漏洞推荐使用漏洞扫码服务:https://cloud.tencent.com/document/product/692

11)安装防恶意代码软件,定期更新特征库(针对Windows)

12)定期快照备份数据,定期快照参考:https://cloud.tencent.com/document/product/362/8191。
需注意:做好云服务器系统的安全防护可以有效加强云服务器系统安全, 但也无法保证绝对安全, 建议定期做好云服务器系统的安全巡检及数据备份,以防突发情况导致数据丢失、或业务不可用。

13)若无固定IP又需要开放22和3389远程管理端口,建议您可使用云防火墙的身份访问规则功能(零信任)对远程管理端口进行防护(可有效防护22和3389端口的互联网侧暴力破解问题),
具体功能请参考:https://cloud.tencent.com/document/product/1132/53010

14)安装主机安全专业版agent,对主机入侵行为进行检测和告警,及时处置发现的漏洞。
制作系统镜像您可以参考:
https://cloud.tencent.com/document/product/213/4942
数据快照操作您可以参考:
https://cloud.tencent.com/document/product/362/5755
定期快照您可以参考:
https://cloud.tencent.com/document/product/362/8191
重装系统参考:
https://cloud.tencent.com/document/product/213/4933
系统盘拷贝参考:
https://cloud.tencent.com/developer/article/1387468
安全加固操作安全方面我们只能给您建议,因为考虑安全性之前是要以业务的可用性为前提的,因为业务架构是您自建的,我们不能为了安全而影响基本的业务可用,因此安全方面我们只能给您提供对应的安全建议,而不能去全权操作。"