同服务器网站被黑是否会殃及池鱼
最近,一个客户端同服务器网站服务器被入侵,导致服务器被木马病毒入侵,重做系统也无济于事,目前,客户网站处于瘫痪状态,损失更大,通过引入朋友来找我们SINESAFE,我们立即成立了一个安全应急小组,针对客户服务器受到攻击,对被黑客入侵的情况进行全面的安全检测和保护部署。记录我们的整个安全处理过程,教您如何防止服务器被攻击,如何解决服务器入侵的问题。
首先,让我们确认客户端的服务器正在使用linuxcentos系统,网站是用PHP语言开发的,数据库类型由MySQL开发,使用开放源代码Thinkphp架构,服务器配置为16核,32 GB内存,带宽100兆,使用Ariyun ECS服务器,在遭到黑客攻击之前,我收到了来自Ariyun的一条短信,提示服务器在不同的地方登录。我们的正弦安全技术将Ariyun的帐户密码与我们的客户以及服务器的IP、SSH端口、根帐户密码对接。立即启动服务器的安全紧急处理。
在登录到服务器后,我们发现CPU占了90%以上,16个核心的处理正在使用中。立即发现占用CPU的进程被看门狗进程占用,导致Catton无法打开客户端的网站,检查服务器的带宽是否占用了100 m,所有带宽都被占用了。起初,我们认为该网站受到DDOS流量的攻击。通过我们详细的安全分析和检测,您可以排除流量攻击,并在查看与监视狗相关的进程时发现问题。服务器被侵入挖掘木马病毒,木马的植入技术非常巧妙,完全隐藏,肉眼无法检测,利用rootkit技术不断隐藏和生成木马。
我们发现了攻击的特点,然后发现任务被添加到服务器的计划任务中。Crontab每小时自动将SO文件下载到系统目录。SO文件被下载到我们的正弦安全部门,发现它是一个特洛伊木马后门,仍然没有被杀死。它被嵌入到伪装挖掘的系统进程中。