Недавно я купил машину, чтобы испытать некоторые новейшие возможности района Чэнду. Поскольку требуются некоторые конкретные действия, никакие меры безопасности для поддержания возможности подключения теста не принимаются. После проверки нескольких версий тест был завершен. Неожиданно вскоре он был взломан.
[Tencent Cloud] Уважаемые пользователи Tencent Cloud!,Привет!Ваша учетная запись Tencent Cloud(счетID:4**,Тип: 0.0) Скачать Скачать: 10.0.0.17 [Windows Server-xxx, идентификатор экземпляра: lhins-xxxx, регион: юго-западный регион. (Чэнду), время: 24 марта 2024 г. 12:04:48 (GMT+8:00) обнаружил, что пароль мог быть взломан (IP-адрес источника: 103.156.178.219, Взлом адреса: Гонконг, Китай),Количество попыток: 55,Статус блокировки: Не заблокировано (переключатель блокировки не включен),Пожалуйста, перейдите в раздел Безопасность хоста.(https://mc.tencent.com/xxxX)Посмотреть детали。
Очевидно, в первый раз мне было все равно, потому что я сталкивался с этой штукой время от времени, не говоря уже о пустой машине, поэтому я поставил OpenCloudOS 8.6 Нажал переустановить и всё. Результата не прошло и двух дней.,【Tencent Cloud】Уважаемые пользователи!,您的счет(счетID:4**,Псевдоним: 0.0) подозревается в разведке (майнинге) виртуальной валюты или ему злонамеренно имплантирован троян для майнинга. В соответствии с требованиями соответствующих законов, правил и регулирующих органов.,Пожалуйста, проверьте и обработайте бизнес под своим именем (xxx.xxx.xxx.xxx) как можно скорее.,Подробности смотрите в сообщении на сайтеhttps://mc.tencent.com/xxxx。Если там2024-03-26 Если поведение майнинга по-прежнему будет обнаружено после 23:59:59, Tencent Cloud придется заблокировать ваш облачный сервер, что повлияет на вашу способность предоставлять внешние услуги. Благодарим вас за понимание и поддержку.
Я больше не могу этого терпеть, поэтому начал его эксплуатировать. Сначала я сменил тип системы, Ubuntu Server 22.04 LTS 64bit.
Тогда закройте все группы безопасности и мир станет чистым.
Простая обработка не может полностью решить эту проблему. Необходимо отследить источник и отправить его, поэтому сначала обратитесь в центр безопасности, чтобы посмотреть на процесс.
Мы видели нападение в Гонконге и нападение в Румынии. Среди них успешно взорвался и младший брат 219 в Гонконге.
Судя по данным Tencent Cloud Security Backend, всего было предпринято 284 попытки. Это также показывает, что наши пароли действительно недостаточно надежны. В то время я использовал постоянные пароли. 123 В этом порядке слабые пароли являются ключом, а другой — проблемой для пользователя root.
Здесь мы видим, что у него есть правило, которое мы можем попытаться установить. Давайте зайдем и посмотрим на ситуацию.
Очень хорошо, требует мощности ПКМ, так что усилений по этой идее в ближайшее время точно не будет. На данный момент самое пассивное, что мы можем сделать, это заблокировать исходный IP или IP-сегмент атаки на стороне сервера после восстановления сервера самостоятельно.
Эта идея, безусловно, относительно пассивна. Если будет использоваться IP-сегмент, это может повлиять на нормальный бизнес.
Посмотрим, сможем ли мы справиться с проблемой со стороны сервера.。https://cloud.tencent.com/document/product/213/68394Некоторые простые методы запроса упомянуты в этой ссылке.。Для удобства каждого,Я сделал демо
На данный момент мы можем быть уверены, что машина теперь чиста, тогда пришло время перейти ко второму шагу — изменить порт.
https://cloud.tencent.com/document/product/213/42838#ModifyLinuxCVMPort
Введите i, чтобы войти в режим вставки. Только когда вы увидите режим в красном поле, вы можете изменить содержимое порта в красном поле.
Сохраните и верните, чтобы изменения вступили в силу. Очень хорошо. Сообщено об ошибке. Доступно только для чтения. Добавьте sudo vim /etc/ssh/sshd_config перед командой. Если она снова успешна, продолжайте работу и systemctl перезапустите sshd.service.
Failed to restart sshd.service: Interactive authentication required.
See system logs and 'systemctl status sshd.service' for details.
Хорошо, было сообщено об ошибке. Затем sudo systemctl restart sshd.service кажется успешным.
Давайте посмотрим на порт vim. /etc/ssh/sshd_config такой же, как мы переписали. Давай, попробуй открыть порт.
Правильно настройте порт и разрешите доступ группе безопасности или брандмауэру, чтобы разрешить вход в систему, изменив порт.
! Обратите внимание: если вы не закомментируете порт 22 в конце, вам необходимо отключить исходный порт 22 в группе безопасности или брандмауэре.
Чтобы избежать некоторых нестабильных факторов,Поэтому нет возможности комментировать порт 22. Фактически доказано, что замена порта на этом этапе прошла успешно.,Если это ради стабильности и страховки,#порт можно выбрать в файле 22 Этот способ записи используется для аннотации порта. Эта часть больше не будет повторяться.
1: Облако не является абсолютно безопасным; не существует абсолютной безопасности.
2: При необходимости вы можете использовать эластичный IP-адрес или другие средства для сокрытия IP-адреса, например настройку брандмауэра, блокировку, перенаправление и т. д.
3: Защита уровня 3 Tencent Cloud основана на собственном бизнесе Tencent Cloud, а не на уровне безопасности компьютера на стороне пользователя.
4. Если у вас есть бюджет, вы можете напрямую использовать некоторые портфели продуктов безопасности Tencent Cloud для усиления. Если у вас нет бюджета, вы можете использовать некоторые необходимые средства для обеспечения собственной облачной безопасности, включая, помимо прочего, блокировку. подозрительные IP-сегменты, блокируя необычные порты и ограничивая экспорт, отслеживая порты и обеспечивая раннее предупреждение, изменяя часто используемые удаленные порты, ограничивая входящий и исходящий трафик на бизнес-портах, включая стороннее программное обеспечение безопасности и т. д.
5. Установите надежные пароли и регулярно меняйте их. Вместо использования общих комбинаций, таких как Aa 123 и других последовательных или перекрывающихся фраз, используйте необычные пароли, такие как qszL]4?9`E8G, или даже напрямую используйте пары ключей.
6: Теоретически Tencent Cloud поддерживает бесплатный Anti-D в сетях 2G, что указывает на наличие возможностей защиты полосы пропускания, но пользователям нужно только приобрести соответствующие продукты, чтобы получить поддержку более высокой безопасности.
Вышеупомянутое является причиной, по которой после покупки машины в облаке вам необходимо приобрести дополнительные продукты, такие как безопасность хоста, облачный брандмауэр, машина-бастион, брандмауэр веб-приложений, защита от DDOS и другие продукты для ее усиления. Из-за условий многое не прорисовано, но реально тратить деньги на безопасность довольно дорого, как показано ниже:
Вышеупомянутое не включает в себя какие-то сложные сцены. Для наглядности мы сделали несколько простых связей. На самом деле некоторые из них не находятся на одном уровне и предназначены только для справки. Пожалуйста, обратитесь к официальным окончательным инструкциям Tencent Cloud.
Только сейчас, когда я писал,Мы видели, что хосты с оплатой по мере использования безопасно находились в автономном режиме.,Поэтому введение о безопасности хоста было удалено.,Потому что я ни за что не куплю месяц только потому, что там объясняется, как работает эта часть.。Подробную информацию см.:https://cloud.tencent.com/document/product/296/12236
Что ж, у нас остаются только другие варианты.
Резервное копирование, резервное копирование и еще раз резервное копирование. Простое и грубое резервное копирование может не полностью противостоять атакам, но оно, по крайней мере, может уменьшить потери.
Делая зеркальные снимки, снимки дисков с данными и т. д., вы можете установить цикл, и то же самое справедливо и для баз данных.
Создайте собственное изображение:https://cloud.tencent.com/document/product/213/4942
Создать снимок:https://cloud.tencent.com/document/product/362/5755
Периодические снимки:https://cloud.tencent.com/document/product/362/8191
О резервных точках:https://cloud.tencent.com/document/product/362/73592
Автоматическое резервное копирование базы данных:https://cloud.tencent.com/document/product/236/35172
Используйте сторонние бесплатные приложения безопасности для выполнения антивирусных операций или усиления защиты. Из-за бренда и по другим причинам явных рекомендаций не дается, поэтому вы можете исследовать самостоятельно.
Ответ: Если данные важны, подумайте о том, чтобы потратить деньги на их возврат. Если это не важно, просто переустановите и повторно разверните их. Лишь некоторые вирусы-вымогатели были взломаны некоторыми командами безопасности, и это все равно стоит денег. Могут существовать бесплатные услуги восстановления, но если зашифрованный контент будет поврежден, последствия могут быть более серьезными, поэтому вам придется принять собственное решение.
Ответ: До тех пор, пока не будет проведено большое количество статистических проверок, мы не можем сделать прямой вывод о том, что Tencent Cloud стал мишенью. Судя по методу атаки, нельзя прямо сказать, что она нацелена на машины Tencent Cloud, но это может указывать на то, что IP-адрес раскрыт. Возможно, сканер сканирует IP-сегмент, а затем выполняет взлом словаря. Теоретически для блокировки такого поведения можно использовать соответствующие продукты безопасности. Поведение вторжения включает, помимо прочего, распространенное поведение атак, такое как внедрение на веб-сайты, седлание лошадей, взрыв портов SSH и т. д.
Обычно после обновления машины,Добавьте услуги и присоединитесь к плану самостоятельного запуска,Используйте управляющую машину в качестве жаровни, чтобы пополнить вычислительную мощность.,Фоновые программы обычно находятся в системных файлах.,Но устранение неполадок затруднено,Кропотливый,А этот тип вируса вообще обладает способностью реплицироваться и размножаться.,Если данные важны,Рекомендуется реализовать блокировку сети.,Выполните проверку данных и восстановление в режиме VNC.,Затем войдите в систему через белый список IP-адресов и другие методы, чтобы скопировать данные в Cos или локальный компьютер (необходимо предотвратить заражение локального компьютера). Переустановите систему сразу после спасения данных,возобновить бизнес,Сделайте последующие попытки восстановления данных.。На таких машинах обычно нет групповых ограничений безопасности или пароль слишком простой.
Можно только сказать, что это возможно. Смена поставщика облачных услуг означает, что изменилась системная среда, IP-адрес и т. д. Однако, если злоумышленник получит IP-адрес посредством обратного разрешения доменного имени, то IP-адрес может быть снова взломан и удален. атаку еще можно продолжить. Можно лишь сказать, что если злоумышленник сделал это не намеренно, а просто атаковал, перехватив IP-сегмент, то смена производителя в целом эквивалентна смене IP-сегмента. Избежать атаки можно, но возможно и его сканирование. снова.
Ответ: Не совсем,Следует отметить, что,Объем его действия подробно объясняется во введении в безопасность хоста.,На приведенном выше эскизе архитектуры также показана роль нескольких продуктов безопасности в различных измерениях. могу только сказать,Безопасность хоста может конкретно решить такие проблемы, как взлом паролей.。Но он не может противостоять другим атакам со стороны бизнеса.。Подробную информацию о защите хоста см.:https://cloud.tencent.com/document/product/296/2221
Этого не может обещать даже команда старших экспертов по безопасности! Безопасность быстро меняется, и 0days обнаруживаются каждый день. Если злоумышленники первыми обнаружат и воспользуются 0day, то, если не будут вложены серьезные средства защиты активов, как правило, невозможно будет успешно атаковать, затем исправить, а затем отследить и усилить. Поэтому безопасность – вечная тема.Теоретически, если есть специалисты по безопасности, которые различными способами усиливают профилактику и дежурят по очереди 24 часа в сутки, риск можно свести к минимальной вероятности. на 100% безопасно. Можно только сказать, что вероятность несчастных случаев бесконечно близка к 0.
Дополнение к программам-вымогателям:https://cloud.tencent.com/developer/article/1987165