正文

HVV迅速应对!突发服务器入侵,你可以用这招 ...【文末抽奖】

admin
admin V管理员 /0 评论 /217 阅读
0805
此篇文章发布距今已超过602天,您需要注意文章的内容或图片是否可用!

    事件背景


临近 HW,在梳理服务器风险时发现有一台服务器的资源占用近几天飙升。恰巧牧云主机助手上线了安全扫描功能,在扫描后发现了大量告警。根据牧云·主机管理助手中的告警信息,迅速开展了入侵排查及后门清除等操作,及时发现,及时制止
务器出现故障所带来的影响不容忽视。不仅影响用户体验,还可能造成财务损失,影响业务的正常运作。
在实际工作中,如何更快地察觉服务器故障,是大多数人所困扰的。只有快速地意识到服务器的故障,才能迅速展开应对措施,避免损失进一步扩大。


接下来具体介绍一下安全扫描的过程⬇️

    入侵痕迹排查



1.使用牧云·主机管理助手进行安全扫描


2.挖矿处置,恢复业务

根据「挖矿进程」告警,发现性能下降是因为挖矿进程占用大量 CPU 资源。第一时间 kill 进程,恢复业务性能。


3.入侵点确定

关联两条告警信息分析,推测入侵者使用「Redis 未授权访问漏洞」对服务器进行入侵。

点击告警详情,查看判断依据,并在服务器上查看对应文件,内容一致,实锤入侵痕迹「SSH 认证公钥被 REDIS 恶意篡改。




    后门清除



1.删除被篡改SSH 认证公钥


2.删除反弹 shell 定时任务


3.根据反弹shell告警中进程信息,杀死对应进程


4.删除挖矿程序


     结论



告警信息内容与主机真实文件相同,无需登录主机研判每条告警


●告警详情标注详细的「进程号」及「文件行号」等细节信息辅助研判


牧云·主机管理助手在线终端功能可直接打开 shell 进行排查及处置

    总结一下,牧云·主机管理助手提供了完善的安全扫描体系,能够使系统免于受到黑客攻击。

    「入侵痕迹排查功能」在这次服务器入侵事件中做到了快速发现并定位入侵,如果拥有一台以上服务器,还可以使用牧云·主机管理助手进行批量管理监控,并且定期进行安全扫描,为你的服务器安全提供保障。

#

抽奖福利

「抽奖礼品」

王牌战队ChaMd5出品:《CTF实战:技术、解题与进阶》*2

https://mp.weixin.qq.com/s/hHVdf2wE5gsQqiqP_FDNKw


「参与方式」

转发本文即可参与抽奖


「开奖日期」

2023.08.08  12:00





推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网