HVV迅速应对!突发服务器入侵,都在用这招...
临近 HW,在梳理服务器风险时发现有一台服务器的资源占用近几天飙升。恰巧**「牧云·主机管理助手」**上线了 **“安全扫描功能”**支持入侵痕迹排查,在扫描后发现了大量告警。根据牧云·主机管理助手中的告警信息,迅速开展了入侵排查及后门清除等操作,迅速发现,及时制止。
服务器出现故障所带来的影响不容忽视。不仅影响用户体验,还可能造成财务损失,影响业务的正常运作。
在实际工作中,如何更快地察觉服务器故障,是很多人所困扰的。只有快速地意识到服务器的故障,才能迅速展开应对措施,避免损失进一步扩大。
接下来具体介绍一下安全扫描的过程。
产品体验地址👉rivers.chaitin.cn,点击免费开通牧云主机管理助手。
入侵排查:
一:牧云·主机管理助手进行安全扫描
二:挖矿处置,恢复业务
根据「挖矿进程」告警,发现性能下降是因为挖矿进程占用大量 CPU 资源。第一时间 kill 进程,恢复业务性能
三:入侵点确定
关联两条告警信息分析,推测入侵者使用「Redis 未授权访问漏洞」对服务器进行入侵
点击告警详情,查看判断依据,并在服务器上查看对应文件,内容一致,实锤入侵痕迹「SSH 认证公钥被 REDIS 恶意篡改」
后门清除
一:删除被篡改SSH 认证公钥
二:删除反弹 shell 定时任务!
三:根据反弹 shell 告警中进程信息,杀死对应进程
四:删除挖矿程序
结论:
-
告警信息内容与主机真实文件相同,无需登录主机研判每条告警
-
告警详情标注详细的「进程号」及「文件行号」等细节信息辅助研判
-
牧云·主机管理助手在线终端功能可直接打开 shell 进行排查及处置
总结一下,牧云·主机管理助手提供了完善的安全扫描体系,能够使系统免于受到黑客攻击,“安全扫描功能”在这次服务器入侵事件中做到了快速发现并定位入侵,如果拥有一台以上服务器,还可以使用牧云·主机管理助手进行批量管理监控,并且定期进行安全扫描,为服务器安全提供保障。
扫码加入用户交流群,第一时间获取产品最新讯息。
相关推荐
