近日，某一客戶網(wǎng)站服務(wù)器被入侵，導(dǎo)致服務(wù)器被植入木馬病毒，重做系統(tǒng)也于事無補(bǔ)，目前客戶網(wǎng)站處于癱瘓狀態(tài)，損失較大，通過朋友介紹找到我們SINESAFE，我們立即成立安全應(yīng)急處理小組，針對客戶服務(wù)器被攻擊，被黑的情況進(jìn)行全面的安全檢測與防護(hù)部署。記錄一下我們整個的安全處理過程，教大家該如何防止服務(wù)器被攻擊，如何解決服務(wù)器被入侵的問題。

首先我們來確認(rèn)下客戶的服務(wù)器，使用的是linux centos系統(tǒng)，網(wǎng)站采用的PHP語言開發(fā)，數(shù)據(jù)庫類型是mysql，使用開源的thinkphp架構(gòu)二次開發(fā)而成，服務(wù)器配置是16核，32G內(nèi)存，帶寬100M獨(dú)享，使用的是阿里云ECS服務(wù)器，在被黑客攻擊之前，收到過阿里云的短信，提示服務(wù)器在異地登錄，我們SINE安全技術(shù)跟客戶對接了阿里云的賬號密碼以及服務(wù)器的IP，SSH端口，root賬號密碼。立即展開對服務(wù)器的安全應(yīng)急處理。

登錄服務(wù)器后我們發(fā)現(xiàn)CPU占用百分之90多，16核的處理都在使用當(dāng)中，立即對占用CPU的進(jìn)程進(jìn)行追查發(fā)現(xiàn)是watchdogs進(jìn)程占用著，導(dǎo)致服務(wù)器卡頓，客戶的網(wǎng)站無法打開狀態(tài)，查看服務(wù)器的帶寬使用占用到了100M，帶寬全部被占滿。

一開始以為網(wǎng)站遭受到了DDOS流量攻擊，通過我們的詳細(xì)安全分析與檢測，可以排除流量攻擊的可能，再對watchdogs相關(guān)聯(lián)的進(jìn)程查看的時候發(fā)現(xiàn)了問題。服務(wù)器被入侵植入了挖礦木馬病毒，植入木馬的手法很高明，徹底的隱藏起來，肉眼根本無法察覺出來，采用的是rootkit的技術(shù)不斷的隱藏與生成木馬。

找到了攻擊特征，我們緊接著在服務(wù)器的計劃任務(wù)里發(fā)現(xiàn)被增加了任務(wù)，crontab每小時自動下載SO文件到系統(tǒng)目錄當(dāng)中去，該SO文件下載下來經(jīng)過我們的SINE安全部門檢測發(fā)現(xiàn)是木馬后門，而且還是免殺的，植入到系統(tǒng)進(jìn)程進(jìn)行偽裝挖礦。

知道木馬的位置以及來源，我們對其進(jìn)行了強(qiáng)制刪除，對進(jìn)程進(jìn)行了修復(fù)，防止木馬自動運(yùn)行，對系統(tǒng)文件里的SO文件進(jìn)行刪除，與目錄做防篡改部署，殺掉KILL惡意的挖礦進(jìn)程，對linux服務(wù)器進(jìn)行了安全加固。那么服務(wù)器到底是如何被植入木馬，被攻擊的呢？經(jīng)過我們SINE安全2天2夜的不間斷安全檢測與分析，終于找到服務(wù)器被攻擊的原因了，是網(wǎng)站存在漏洞，導(dǎo)致上傳了webshell網(wǎng)站木馬，還留了一句話木馬，攻擊者直接通過網(wǎng)站漏洞進(jìn)行篡改上傳木馬文件到網(wǎng)站根目錄下，并提權(quán)拿到服務(wù)器的root權(quán)限，再植入的挖礦木馬。

首先我們要對網(wǎng)站漏洞進(jìn)行修復(fù)，對客戶網(wǎng)站代碼進(jìn)行全面的安全檢測與分析，對上傳功能，以及sql注入，XSS跨站，遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行安全測試，發(fā)現(xiàn)客戶網(wǎng)站代碼存在上傳漏洞，立即對其進(jìn)行修復(fù)，限制上傳的文件類型，對上傳的目錄進(jìn)行無腳本執(zhí)行權(quán)限的安全部署，對客戶的服務(wù)器登錄做了安全限制，不僅僅使用的是root賬號密碼，而且還需要證書才能登錄服務(wù)器。

如果服務(wù)器反復(fù)被黑客攻擊，建議找專業(yè)的網(wǎng)絡(luò)安全公司來解決問題，國內(nèi)也就Sinesafe和綠盟、啟明星辰等安全公司比較專業(yè).專業(yè)的事，就得需要專業(yè)的人干，至此服務(wù)器被攻擊的問題得以解決，客戶網(wǎng)站恢復(fù)正常，也希望更多遇到同樣問題的服務(wù)器，都能通過上面的辦法解決。