linux伺服器被肉雞

『壹』 求助伺服器被挖礦程序入侵，如何排查

新客戶於最近向我們SINE安全公司咨詢，說他的伺服器經常卡的網站無法打開，遠程連接

伺服器的慢的要命，有時候PING值都達到300-500之間，還經常掉包，聽客戶這么一說，一般

會判斷為受到了CC+DDOS混合流量攻擊，再具體一問，說是機房那面沒有受到流量攻擊，這

就有點奇怪了，不是流量攻擊，還導致伺服器卡，網站無法打開，這是什麼攻擊？為了解決客

戶伺服器卡的問題，我們隨即安排安全工程師對他的linux伺服器進行了安全檢測與安全部署。

挖礦木馬還設計了挖礦進程如果被客戶強制停止後，會自動啟動繼續挖礦，達到不間斷的挖礦，

仔細檢查發現是通過設置了每個小時執行任務計劃，遠程下載shell挖礦木馬，然後執行，檢查

當前進程是否存在，不存在就啟動挖礦木馬，進行挖礦。

對客戶的linux伺服器進行詳細了安全檢測發現幸虧沒有加密伺服器的數據，以及感染蠕蟲的病

毒，如果數據被加密那損失大了，客戶是做平台的，裡面的客戶數據很重要，找出挖礦木馬後，

客戶需要知道伺服器到底是如何被攻擊的？ 被上傳挖礦木馬的？ 防止後期再出現這樣的攻擊

狀況。

通過我們安全工程師的安全檢測與分析，發現該伺服器使用的是apache tomcat環境，平台的開

發架構是JSP+oracle資料庫，apache tomcat使用的是2016年的版本，導致該apache存在嚴重

的遠程執行命令漏洞，入侵者可以通過該漏洞直接入侵伺服器，拿到伺服器的管理員許可權，

SINE安全工程師立即對apache 漏洞進行修復，並清除木馬，至此問題得以解決，客戶伺服器

一切穩定運行，網站打開正常。

『貳』 我的linux伺服器成肉雞了，向同一ip地址發送大量的udp包，把我的伺服器資源都消耗光了，怎麼解決，

1連上伺服器 找出發包進程kill掉（這一步做不到可以無視）
2數據備份（有重要數據的話）
3重做系統
4還原數據
5做好安全防護（iptables禁用不用的埠，不需要的服務關閉，升級bash最近有漏洞）

『叄』 伺服器被肉雞如何解決

一、立即執行
1、更改系統管理員賬戶的密碼，密碼長度不小於8位並且使用大寫字母/小寫字母/數字/特殊字元組合；

2、更改遠程登錄埠並開啟防火牆限制允許登錄的IP，防火牆配置只開放特定的服務埠並對FTP、資料庫等這些不需要對所有用戶開放的服務進行源IP訪問控制；
3、檢查是否開放了未授權的埠

windows在CMD命令行輸入netstat /ano，檢查埠；有開放埠的根據PID檢查進程，刪除對應路徑文件（根據PID檢查進程步驟：開始-->運行-->輸入「msinfo32」 軟體環境-->正在運行的任務 ）
linux 輸入命令 netstat –anp查看

4、刪除系統中未知賬戶，windows系統還需要檢查注冊表中的SAM鍵值是否有隱藏賬戶；

5、假如有WEB服務的，限制web運行賬戶對文件系統的訪問許可權，只開放僅讀許可權。

二、後期防禦

重點操作：開啟雲盾所有功能，特別是網站安全防禦 (自動防禦所有WEB攻擊)、網站後門檢測（實時檢測伺服器上的後門程序）、主機密碼破解防禦
操作步驟：登錄【雲盾控制台】 --【服務設置】 進行開啟

處理步驟：(重置系統 -- 手工修改各個密碼 -- 開啟雲盾所有服務 )

1、手工修改密碼

密碼長度不小於8位並且使用大寫字母、小寫字母、數字、特殊字元組合
至少包括：

a.伺服器登陸密碼
b.資料庫連接密碼
c.網站後台密碼
d.FTP密碼
e.其他伺服器管理軟體密碼
2、系統加固

a.到雲盾控制台開啟雲盾所有服務，尤其是雲盾網站安全防禦（可以抵禦黑客利用網站應用程序的漏洞入侵伺服器，並且有專業的安全團隊時刻關注國內安全動態，一旦發現新的漏洞出現，會立刻更新防護規則，防止黑客利用新漏洞入侵網站）

b.建議站長把網站後台隱藏起來，盡量在保證網站正常運行的前提下，把網站後台目錄名改的長長的。（比如：//）

c. windows系統要及時更新系統補丁