Анализ и лечение причин вирусов-вымогателей и майнинга на серверах
Анализ и лечение причин вирусов-вымогателей и майнинга на серверах

источник

Недавно я купил машину, чтобы испытать некоторые новейшие возможности района Чэнду. Поскольку требуются некоторые конкретные действия, никакие меры безопасности для поддержания возможности подключения теста не принимаются. После проверки нескольких версий тест был завершен. Неожиданно вскоре он был взломан.

[Tencent Cloud] Уважаемые пользователи Tencent Cloud!,Привет!Ваша учетная запись Tencent Cloud(счетID:4**,Тип: 0.0) Скачать Скачать: 10.0.0.17 [Windows Server-xxx, идентификатор экземпляра: lhins-xxxx, регион: юго-западный регион. (Чэнду), время: 24 марта 2024 г. 12:04:48 (GMT+8:00) обнаружил, что пароль мог быть взломан (IP-адрес источника: 103.156.178.219, Взлом адреса: Гонконг, Китай),Количество попыток: 55,Статус блокировки: Не заблокировано (переключатель блокировки не включен),Пожалуйста, перейдите в раздел Безопасность хоста.(https://mc.tencent.com/xxxX)Посмотреть детали。

Очевидно, в первый раз мне было все равно, потому что я сталкивался с этой штукой время от времени, не говоря уже о пустой машине, поэтому я поставил OpenCloudOS 8.6 Нажал переустановить и всё. Результата не прошло и двух дней.,【Tencent Cloud】Уважаемые пользователи!,您的счет(счетID:4**,Псевдоним: 0.0) подозревается в разведке (майнинге) виртуальной валюты или ему злонамеренно имплантирован троян для майнинга. В соответствии с требованиями соответствующих законов, правил и регулирующих органов.,Пожалуйста, проверьте и обработайте бизнес под своим именем (xxx.xxx.xxx.xxx) как можно скорее.,Подробности смотрите в сообщении на сайтеhttps://mc.tencent.com/xxxx。Если там2024-03-26 Если поведение майнинга по-прежнему будет обнаружено после 23:59:59, Tencent Cloud придется заблокировать ваш облачный сервер, что повлияет на вашу способность предоставлять внешние услуги. Благодарим вас за понимание и поддержку.

Простой и грубый метод обращения.

Я больше не могу этого терпеть, поэтому начал его эксплуатировать. Сначала я сменил тип системы, Ubuntu Server 22.04 LTS 64bit.

Тогда закройте все группы безопасности и мир станет чистым.

Возврат

Простая обработка не может полностью решить эту проблему. Необходимо отследить источник и отправить его, поэтому сначала обратитесь в центр безопасности, чтобы посмотреть на процесс.

Мы видели нападение в Гонконге и нападение в Румынии. Среди них успешно взорвался и младший брат 219 в Гонконге.

Судя по данным Tencent Cloud Security Backend, всего было предпринято 284 попытки. Это также показывает, что наши пароли действительно недостаточно надежны. В то время я использовал постоянные пароли. 123 В этом порядке слабые пароли являются ключом, а другой — проблемой для пользователя root.

Здесь мы видим, что у него есть правило, которое мы можем попытаться установить. Давайте зайдем и посмотрим на ситуацию.

Очень хорошо, требует мощности ПКМ, так что усилений по этой идее в ближайшее время точно не будет. На данный момент самое пассивное, что мы можем сделать, это заблокировать исходный IP или IP-сегмент атаки на стороне сервера после восстановления сервера самостоятельно.

Эта идея, безусловно, относительно пассивна. Если будет использоваться IP-сегмент, это может повлиять на нормальный бизнес.

Некоторые простые действия по устранению неполадок и усилению перед перестройкой или столкновением с

Посмотрим, сможем ли мы справиться с проблемой со стороны сервера.。https://cloud.tencent.com/document/product/213/68394Некоторые простые методы запроса упомянуты в этой ссылке.。Для удобства каждого,Я сделал демо

Измените порт SSH по умолчанию

На данный момент мы можем быть уверены, что машина теперь чиста, тогда пришло время перейти ко второму шагу — изменить порт.

https://cloud.tencent.com/document/product/213/42838#ModifyLinuxCVMPort

Введите i, чтобы войти в режим вставки. Только когда вы увидите режим в красном поле, вы можете изменить содержимое порта в красном поле.

Сохраните и верните, чтобы изменения вступили в силу. Очень хорошо. Сообщено об ошибке. Доступно только для чтения. Добавьте sudo vim /etc/ssh/sshd_config перед командой. Если она снова успешна, продолжайте работу и systemctl перезапустите sshd.service.

Failed to restart sshd.service: Interactive authentication required.

See system logs and 'systemctl status sshd.service' for details.

Хорошо, было сообщено об ошибке. Затем sudo systemctl restart sshd.service кажется успешным.

Давайте посмотрим на порт vim. /etc/ssh/sshd_config такой же, как мы переписали. Давай, попробуй открыть порт.

  • SSH-соединение не удалось: подключить ECONNREFUSED xxx.xxx.xxx.xxx:23456 * , ну очень безжалостно.

Правильно настройте порт и разрешите доступ группе безопасности или брандмауэру, чтобы разрешить вход в систему, изменив порт.

! Обратите внимание: если вы не закомментируете порт 22 в конце, вам необходимо отключить исходный порт 22 в группе безопасности или брандмауэре.

Чтобы избежать некоторых нестабильных факторов,Поэтому нет возможности комментировать порт 22. Фактически доказано, что замена порта на этом этапе прошла успешно.,Если это ради стабильности и страховки,#порт можно выбрать в файле 22 Этот способ записи используется для аннотации порта. Эта часть больше не будет повторяться.

Дополнительные баллы

1: Облако не является абсолютно безопасным; не существует абсолютной безопасности.

2: При необходимости вы можете использовать эластичный IP-адрес или другие средства для сокрытия IP-адреса, например настройку брандмауэра, блокировку, перенаправление и т. д.

3: Защита уровня 3 Tencent Cloud основана на собственном бизнесе Tencent Cloud, а не на уровне безопасности компьютера на стороне пользователя.

4. Если у вас есть бюджет, вы можете напрямую использовать некоторые портфели продуктов безопасности Tencent Cloud для усиления. Если у вас нет бюджета, вы можете использовать некоторые необходимые средства для обеспечения собственной облачной безопасности, включая, помимо прочего, блокировку. подозрительные IP-сегменты, блокируя необычные порты и ограничивая экспорт, отслеживая порты и обеспечивая раннее предупреждение, изменяя часто используемые удаленные порты, ограничивая входящий и исходящий трафик на бизнес-портах, включая стороннее программное обеспечение безопасности и т. д.

5. Установите надежные пароли и регулярно меняйте их. Вместо использования общих комбинаций, таких как Aa 123 и других последовательных или перекрывающихся фраз, используйте необычные пароли, такие как qszL]4?9`E8G, или даже напрямую используйте пары ключей.

6: Теоретически Tencent Cloud поддерживает бесплатный Anti-D в сетях 2G, что указывает на наличие возможностей защиты полосы пропускания, но пользователям нужно только приобрести соответствующие продукты, чтобы получить поддержку более высокой безопасности.

О простом процессе доступа в облаке

Вышеупомянутое является причиной, по которой после покупки машины в облаке вам необходимо приобрести дополнительные продукты, такие как безопасность хоста, облачный брандмауэр, машина-бастион, брандмауэр веб-приложений, защита от DDOS и другие продукты для ее усиления. Из-за условий многое не прорисовано, но реально тратить деньги на безопасность довольно дорого, как показано ниже:

Вышеупомянутое не включает в себя какие-то сложные сцены. Для наглядности мы сделали несколько простых связей. На самом деле некоторые из них не находятся на одном уровне и предназначены только для справки. Пожалуйста, обратитесь к официальным окончательным инструкциям Tencent Cloud.

Место для обычных пользователей

Только сейчас, когда я писал,Мы видели, что хосты с оплатой по мере использования безопасно находились в автономном режиме.,Поэтому введение о безопасности хоста было удалено.,Потому что я ни за что не куплю месяц только потому, что там объясняется, как работает эта часть.。Подробную информацию см.:https://cloud.tencent.com/document/product/296/12236

Что ж, у нас остаются только другие варианты.

Делайте ежедневные резервные копии, чтобы иметь возможность быстро восстановиться в случае атаки.

Резервное копирование, резервное копирование и еще раз резервное копирование. Простое и грубое резервное копирование может не полностью противостоять атакам, но оно, по крайней мере, может уменьшить потери.

Делая зеркальные снимки, снимки дисков с данными и т. д., вы можете установить цикл, и то же самое справедливо и для баз данных.

Создайте собственное изображение:https://cloud.tencent.com/document/product/213/4942

Создать снимок:https://cloud.tencent.com/document/product/362/5755

Периодические снимки:https://cloud.tencent.com/document/product/362/8191

О резервных точках:https://cloud.tencent.com/document/product/362/73592

Автоматическое резервное копирование базы данных:https://cloud.tencent.com/document/product/236/35172

Недорогое решение для проверки

Используйте сторонние бесплатные приложения безопасности для выполнения антивирусных операций или усиления защиты. Из-за бренда и по другим причинам явных рекомендаций не дается, поэтому вы можете исследовать самостоятельно.

некоторые общие вопросы

  • Что мне делать, если я заразился вирусом-вымогателем?

Ответ: Если данные важны, подумайте о том, чтобы потратить деньги на их возврат. Если это не важно, просто переустановите и повторно разверните их. Лишь некоторые вирусы-вымогатели были взломаны некоторыми командами безопасности, и это все равно стоит денег. Могут существовать бесплатные услуги восстановления, но если зашифрованный контент будет поврежден, последствия могут быть более серьезными, поэтому вам придется принять собственное решение.

  • Вирусу подвержены только компьютеры Tencent Cloud?

Ответ: До тех пор, пока не будет проведено большое количество статистических проверок, мы не можем сделать прямой вывод о том, что Tencent Cloud стал мишенью. Судя по методу атаки, нельзя прямо сказать, что она нацелена на машины Tencent Cloud, но это может указывать на то, что IP-адрес раскрыт. Возможно, сканер сканирует IP-сегмент, а затем выполняет взлом словаря. Теоретически для блокировки такого поведения можно использовать соответствующие продукты безопасности. Поведение вторжения включает, помимо прочего, распространенное поведение атак, такое как внедрение на веб-сайты, седлание лошадей, взрыв портов SSH и т. д.

  • Почему машина вдруг предлагает заняться майнингом?

Обычно после обновления машины,Добавьте услуги и присоединитесь к плану самостоятельного запуска,Используйте управляющую машину в качестве жаровни, чтобы пополнить вычислительную мощность.,Фоновые программы обычно находятся в системных файлах.,Но устранение неполадок затруднено,Кропотливый,А этот тип вируса вообще обладает способностью реплицироваться и размножаться.,Если данные важны,Рекомендуется реализовать блокировку сети.,Выполните проверку данных и восстановление в режиме VNC.,Затем войдите в систему через белый список IP-адресов и другие методы, чтобы скопировать данные в Cos или локальный компьютер (необходимо предотвратить заражение локального компьютера). Переустановите систему сразу после спасения данных,возобновить бизнес,Сделайте последующие попытки восстановления данных.。На таких машинах обычно нет групповых ограничений безопасности или пароль слишком простой.

  • Исчезнет ли эта проблема, если я сменю облачного провайдера?

Можно только сказать, что это возможно. Смена поставщика облачных услуг означает, что изменилась системная среда, IP-адрес и т. д. Однако, если злоумышленник получит IP-адрес посредством обратного разрешения доменного имени, то IP-адрес может быть снова взломан и удален. атаку еще можно продолжить. Можно лишь сказать, что если злоумышленник сделал это не намеренно, а просто атаковал, перехватив IP-сегмент, то смена производителя в целом эквивалентна смене IP-сегмента. Избежать атаки можно, но возможно и его сканирование. снова.

  • Может ли покупка продуктов безопасности решить эту проблему, например, покупка профессиональной версии хостовой безопасности?

Ответ: Не совсем,Следует отметить, что,Объем его действия подробно объясняется во введении в безопасность хоста.,На приведенном выше эскизе архитектуры также показана роль нескольких продуктов безопасности в различных измерениях. могу только сказать,Безопасность хоста может конкретно решить такие проблемы, как взлом паролей.。Но он не может противостоять другим атакам со стороны бизнеса.。Подробную информацию о защите хоста см.:https://cloud.tencent.com/document/product/296/2221

  • Я хочу решить эту проблему раз и навсегда

Этого не может обещать даже команда старших экспертов по безопасности! Безопасность быстро меняется, и 0days обнаруживаются каждый день. Если злоумышленники первыми обнаружат и воспользуются 0day, то, если не будут вложены серьезные средства защиты активов, как правило, невозможно будет успешно атаковать, затем исправить, а затем отследить и усилить. Поэтому безопасность – вечная тема.Теоретически, если есть специалисты по безопасности, которые различными способами усиливают профилактику и дежурят по очереди 24 часа в сутки, риск можно свести к минимальной вероятности. на 100% безопасно. Можно только сказать, что вероятность несчастных случаев бесконечно близка к 0.

Дополнение к программам-вымогателям:https://cloud.tencent.com/developer/article/1987165

boy illustration
Учебное пособие по Jetpack Compose для начинающих, базовые элементы управления и макет
boy illustration
Код js веб-страницы, фон частицы, код спецэффектов
boy illustration
【новый! Суперподробное】Полное руководство по свойствам компонентов Figma.
boy illustration
🎉Обязательно к прочтению новичкам: полное руководство по написанию мини-программ WeChat с использованием программного обеспечения Cursor.
boy illustration
[Забавный проект Docker] VoceChat — еще одно приложение для мгновенного чата (IM)! Может быть встроен в любую веб-страницу!
boy illustration
Как реализовать переход по странице в HTML (html переходит на указанную страницу)
boy illustration
Как решить проблему зависания и низкой скорости при установке зависимостей с помощью npm. Существуют ли доступные источники npm, которые могут решить эту проблему?
boy illustration
Серия From Zero to Fun: Uni-App WeChat Payment Practice WeChat авторизует вход в систему и украшает страницу заказа, создает интерфейс заказа и инициирует запрос заказа
boy illustration
Серия uni-app: uni.navigateЧтобы передать скачок значения
boy illustration
Апплет WeChat настраивает верхнюю панель навигации и адаптируется к различным моделям.
boy illustration
JS-время конвертации
boy illustration
Обеспечьте бесперебойную работу ChromeDriver 125: советы по решению проблемы chromedriver.exe не найдены
boy illustration
Поле комментария, щелчок мышью, специальные эффекты, js-код
boy illustration
Объект массива перемещения объекта JS
boy illustration
Как открыть разрешение на позиционирование апплета WeChat_Как использовать WeChat для определения местонахождения друзей
boy illustration
Я даю вам два набора из 18 простых в использовании фонов холста Power BI, так что вам больше не придется возиться с цветами!
boy illustration
Получить текущее время в js_Как динамически отображать дату и время в js
boy illustration
Вам необходимо изучить сочетания клавиш vsCode для форматирования и организации кода, чтобы вам больше не приходилось настраивать формат вручную.
boy illustration
У ChatGPT большое обновление. Всего за 45 минут пресс-конференция показывает, что OpenAI сделал еще один шаг вперед.
boy illustration
Copilot облачной разработки — упрощение разработки
boy illustration
Микросборка xChatGPT с низким кодом, создание апплета чат-бота с искусственным интеллектом за пять шагов
boy illustration
CUDA Out of Memory: идеальное решение проблемы нехватки памяти CUDA
boy illustration
Анализ кластеризации отдельных ячеек, который должен освоить каждый&MarkerгенетическийВизуализация
boy illustration
vLLM: мощный инструмент для ускорения вывода ИИ
boy illustration
CodeGeeX: мощный инструмент генерации кода искусственного интеллекта, который можно использовать бесплатно в дополнение к второму пилоту.
boy illustration
Машинное обучение Реальный бой LightGBM + настройка параметров случайного поиска: точность 96,67%
boy illustration
Бесшовная интеграция, мгновенный интеллект [1]: платформа больших моделей Dify-LLM, интеграция без кодирования и встраивание в сторонние системы, более 42 тысяч звезд, чтобы стать свидетелями эксклюзивных интеллектуальных решений.
boy illustration
LM Studio для создания локальных больших моделей
boy illustration
Как определить количество слоев и нейронов скрытых слоев нейронной сети?
boy illustration
[Отслеживание целей] Подробное объяснение ByteTrack и детали кода