记一次服务器被木马注入攻击
1. 背景
我们的服务器部署在某云上,这台服务器的配置是8核16G,用途是GitLab和VPN。环境是内网通讯,公司无专业的运维工程师。
2. 发现
2022年01月的某一天,项目成员反馈GitLab无法正常进入,页面响应502。然后就意识到GitLab服务出了问题。
3. 排查
进入排查,通过vpn登录到服务器,查询到gitLab进程已经异常,进行gitLab重新启动,启动成功。
启动成功之后,发现GitLab所有的项目全部没有了,开始定位问题:
思路一:gitLab进程异常,二次重启,还是未解决。
思路二:进入到gitLab默认的项目文件保存目录发现该目录下的存储项目的文件夹被清空。
思路三:查询history,命令执行历史记录,未查询到异常。
思路四:查询top进程,查看异常进程,无异常。
通过上述定位,问题是:gitLab的保存项目的文件夹被清空;接下来开始查找被清空原因,通过某云上10:40的预警,说服务器可能被DDOS共计,不限于执行了python或者其他脚本。
截图如下:
开始转换思路,这是被病毒注入了。
通过上面的wegt地址,在新的服务器(针对病毒启动了一台全新的临时服务器)把bins.sh进行下载,内容如下:
病毒文件如下:
经鉴定确认这只一种挖矿木马,木马对服务器内部文件进行了损坏,其中包含gitlab。
经查询GitLab服务器一个外网端口在暴露着,打开正好是GitLab登录的页面,病毒通过登录窗口进行侵入,提权进行下载挖矿项目。
4. 解决
挖矿病毒入侵,残留比较严重,无法保证全部删除干净,进行镜像回复出厂设置,进行重新搭建VPN+GitLab。
5. 总结
1. GitLab服务器应该配置为内网,禁止对外开放外网端口;GitLab更改默认80端口,默认存储文件夹进行更改新的位置;
2. vpn服务器使用某云,由某云进行入口防护,或者安全性低自己搭建vpn服务器,对外仅暴露1个vpn端口。
3. 进行服务器镜像快照备份。
6. 安全的重要性
当公司还是小型互联网公司时候,大家对安全并不重视,也是允许因为无攻击价值和攻击后的损耗,公司也是处于生存期。但是当公司已经渡过了生存期,到达发展期,那么业务的增长和业务安全的重要性,那么系统安全尤为重要。应该有专门的运维安全工程师进行安全防护,防护分为内部防护和外部防护,在这里不做延展。
记一次服务器被木马注入攻击相关推荐
- web服务器遭受命令注入攻击怎么办。
代码注入是指攻击者通过网站类型注入相应的代码,这个代码以当前网站用户的权限执行系统命令,在高级事件中,攻击者可能溢出来提权导致整个web服务器的沦丧. 倘若攻击路径到/shell了,这种情况就很严重了 ...
- 记我的服务器被勒索病毒攻击的经历
出于对游戏行业的好奇,想自己搭建一套私服游戏,然后就在腾讯云上购买了一台windows2008服务器 很快系统生成了,游戏花了一个下午也部署上去玩起来了 第三天早上起来发现游戏连接不上服务器,然后打开 ...
- SQL Server安全-加密术和SQL注入攻击
SQL Server上的加密术 SQL Server上内置了加密术用来保护各种类型的敏感数据.在很多时候,这个加密术对于你来说是完全透明的:当数据被存储时候被加密,它们被使用的时候就会自动加密.在其他 ...
- 记一次服务器被挖矿木马攻击的经历
背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...
- 【运维】记一次yapi安全漏洞导致服务器被木马入侵的处理过程
原本今天应该是一个愉快的周六,突然收到阿里云告警,说服务器有木马风险,让我赶紧处理,我顿时就懵逼了,上阿里云一看,好家伙,4个风险提示. 漏洞出自yapi服务,二话不说先停了服务,然后去 ...
- Godaddy服务器上关于ASP.NET网站建设一些经验 - 防SQL注入攻击(三)
作者: 阙荣文 ( querw ) 什么是SQL注入攻击,有什么危害 先来看一个例子说说SQL注入攻击是怎么回事,有什么危害. 在有用户参与的网站中,所有操作中最重要的就是登录.要求用户输入用户名和密 ...
- vb.net服务器启动后cpu占用了70_记一次服务器被异常程序占用的解决过程(怀疑黑客攻击)...
最近在跑实验,但是突然发现程序运行变慢,然后top命令查看程序运行情况,发现有异常进程,名字叫 bash,占用 2400% CPU计算资源. 刚开始怀疑是挖矿程序,因实验室网络IP为教育网公网,怀疑被 ...
- SQL注入攻击的种类和防范手段
观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. ...
- 2017-2018-2 20179216 《网络攻防与实践》 SQL注入攻击
1. SQL语言 结构化查询语言(Structured Query Language)简称SQL:是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询.更新和管理关系数据库系 ...
最新文章
- 常考数据结构与算法:最长公共子串
- zip 密码算法 java,java zip 密码
- ActiveMQ学习笔记(21)----ActiveMQ集成Tomcat
- Java基础day9
- NHibernate3.2+Asp.net MVC3+Extjs 4.0.2项目实践(二): NHibernate数据访问层实现
- 浅谈ASP.NET的内部机制(二)
- c语言递归求n的阶乘之和,c语言用递归的方法实现1!+2!+3!+4!+.....+n!=?阶乘之和...
- Docker下部署wordpress
- Jar 包依赖冲突排查思路和解决方法(logback + slf4j-log4j12)
- mysql systemctl开机启动_Linux 开机启动项命令:chkconfig 和 systemctl
- 图书管理系统的分析与设计
- Swift 中枚举高级用法及实践
- Python 九九乘法表打印
- 使用F021_API_F2837xD_FPU32.lib 库函数遇到的问题 warning #10068-D: no matching section
- 理解Celery的worker
- 网易2018年春招 校招编程题
- linux 根目录变为只读了,如何在 Web 服务器文档根目录上设置只读文件权限 | Linux 中国...
- 交通流预测爬坑记(二):最简单的LSTM预测交通流,使用tensorflow2实现
- 为什么outlook不能改成HTML格式,如何解决Outlook 2016中的HTML格式问题
- 计算机基础知识---位运算的应用