记录一下网站服务器被攻击的解决过程 附排查溯源及防御



     黑客攻击区块挖矿攻击实质上是使用了现阶段网站服务器和互联网自身的BUG。黑客攻击区

块挖矿具体有二种方法,过去方法通常入侵网站服务器或使用安全漏洞往网站服务器注入区块

挖矿木马病毒开展区块挖矿,例如使用Redis未认证网络访问情况;新式方法很多使用网站BUG

,获得网页页面信息的修改管理权限,例如利用上传文件BUG发送Webshell网站后门文件,再

来修改网页代码,随后在网页代码里注入JavaScript区块挖矿源代码开展区块挖矿,全部都是使

用BUG。
 
 
从接管企业网站服务器2个半礼拜时不时的没法正常情况下ssh登录,九次里边有六次半全部都

是显示错误的信息,导致服务器根本不能正常的登陆进去。很影响我的正常工作.
 
 
也百度搜索了很多种多样缘故和解决方法,无外乎是分二种:一个是进程满了,必须修改环境

变量把max-session调高;二是是网络访问次数太高被网站服务器加入黑名单了。也跟SINE公

司azure那里沟通过,起初推断是由于接入的http代理不稳定可能会致使占据进程,殊不知情

况自始至终都没有获得处理。之后有时候一回总算登录到网站服务器,就复制粘贴了全部的

Log文档让SINE安全公司专业的技术人员帮助清查一下子,最后得知是来源于南京的1个ip地

址从三月六日就逐渐经常试着利用root账号登录网站服务器,更为经常是1个钟头试着登录

1200次,怪不得我自始至终没法正常情况下登录了。最后明确了黑客入侵的成功是三月十二

号早上的时候我试着登陆网站服务器,得知登陆密码不正确了,显示信息无法登陆,跟

SINE安全公司那里专业技术人员一探讨觉得十有八九是网站被黑了,到下午再试着登陆的

情况下立即显示信息22端口关闭,显然sshd的config文档早已被修改了,能够100%确定网

站服务器网站被黑了。
 
 
此次网站服务器网站被黑事情,也就是假如得知服务器无法登陆的这种的情况,而自个这里

既都没有经常的试着登录服务器,而且也清楚会登录网站服务器的人并不是很多,那麼基本

上可以确定是网站服务器已经遭到暴利破解。假如能登录进网站服务器的情况下最好是调一

下子/var/Log/secure文档看下浏览记录,把未知的ip地址在/etc/hosts.allow里进行禁止访问。
 
 
事后:我们找了SINE安全公司的技术帮我们检查了服务器的安全以及网站安全加固,说是

网站服务器遭到了黑客的ddos攻击,通俗来讲就是利用很多的网络访问占据服务器的带宽

资源造成真实用户没法正常情况下浏览网站。因为网站服务器跟公司里的局域网接入,

黑客入侵更有可能会攻击所有公司的局域网,辛亏找了SINE安全公司做了安全防御,要不

公司的网络就瘫痪了,总之从确定服务器被黑客攻击到被攻破,这一阵子我觉得很激动也

很有趣,也很有可能我就是个菜鸟,从未见过大事情。与此同时我对黑客入侵方式真的是

有些喜欢,有时间的情况下想好好学习某些网络信息安全层面的专业知识,有可能的情况

下变成黑客或是变成1个反黑客入侵。如果你的服务器也遇到了像我一样的攻击情况,自

个又不懂代码,以及服务器的维护,建议你找专业的网站安全公司来帮你解决这样问题

,别自个瞎捣鼓,很有可能给公司带来较大的经济损失,严重的话可能导致网站的数据

被删除。
分享: