1. 背景

我们的服务器部署在某云上,这台服务器的配置是8核16G,用途是GitLab和VPN。环境是内网通讯,公司无专业的运维工程师。

2. 发现

2022年01月的某一天,项目成员反馈GitLab无法正常进入,页面响应502。然后就意识到GitLab服务出了问题。

3. 排查

进入排查,通过vpn登录到服务器,查询到gitLab进程已经异常,进行gitLab重新启动,启动成功。

启动成功之后,发现GitLab所有的项目全部没有了,开始定位问题:

思路一:gitLab进程异常,二次重启,还是未解决。

思路二:进入到gitLab默认的项目文件保存目录发现该目录下的存储项目的文件夹被清空。

思路三:查询history,命令执行历史记录,未查询到异常。

思路四:查询top进程,查看异常进程,无异常。

通过上述定位,问题是:gitLab的保存项目的文件夹被清空;接下来开始查找被清空原因,通过某云上10:40的预警,说服务器可能被DDOS共计,不限于执行了python或者其他脚本。

截图如下:

开始转换思路,这是被病毒注入了。

通过上面的wegt地址,在新的服务器(针对病毒启动了一台全新的临时服务器)把bins.sh进行下载,内容如下:

病毒文件如下:

经鉴定确认这只一种挖矿木马,木马对服务器内部文件进行了损坏,其中包含gitlab。

经查询GitLab服务器一个外网端口在暴露着,打开正好是GitLab登录的页面,病毒通过登录窗口进行侵入,提权进行下载挖矿项目。

4. 解决

挖矿病毒入侵,残留比较严重,无法保证全部删除干净,进行镜像回复出厂设置,进行重新搭建VPN+GitLab。

5. 总结

1. GitLab服务器应该配置为内网,禁止对外开放外网端口;GitLab更改默认80端口,默认存储文件夹进行更改新的位置;

2. vpn服务器使用某云,由某云进行入口防护,或者安全性低自己搭建vpn服务器,对外仅暴露1个vpn端口。

3. 进行服务器镜像快照备份。

6. 安全的重要性

当公司还是小型互联网公司时候,大家对安全并不重视,也是允许因为无攻击价值和攻击后的损耗,公司也是处于生存期。但是当公司已经渡过了生存期,到达发展期,那么业务的增长和业务安全的重要性,那么系统安全尤为重要。应该有专门的运维安全工程师进行安全防护,防护分为内部防护和外部防护,在这里不做延展。

记一次服务器被木马注入攻击相关推荐

  1. web服务器遭受命令注入攻击怎么办。

    代码注入是指攻击者通过网站类型注入相应的代码,这个代码以当前网站用户的权限执行系统命令,在高级事件中,攻击者可能溢出来提权导致整个web服务器的沦丧. 倘若攻击路径到/shell了,这种情况就很严重了 ...

  2. 记我的服务器被勒索病毒攻击的经历

    出于对游戏行业的好奇,想自己搭建一套私服游戏,然后就在腾讯云上购买了一台windows2008服务器 很快系统生成了,游戏花了一个下午也部署上去玩起来了 第三天早上起来发现游戏连接不上服务器,然后打开 ...

  3. SQL Server安全-加密术和SQL注入攻击

    SQL Server上的加密术 SQL Server上内置了加密术用来保护各种类型的敏感数据.在很多时候,这个加密术对于你来说是完全透明的:当数据被存储时候被加密,它们被使用的时候就会自动加密.在其他 ...

  4. 记一次服务器被挖矿木马攻击的经历

    背景 利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为"imWBR1"的进程,查了一 ...

  5. 【运维】记一次yapi安全漏洞导致服务器被木马入侵的处理过程

    原本今天应该是一个愉快的周六,突然收到阿里云告警,说服务器有木马风险,让我赶紧处理,我顿时就懵逼了,上阿里云一看,好家伙,4个风险提示.        漏洞出自yapi服务,二话不说先停了服务,然后去 ...

  6. Godaddy服务器上关于ASP.NET网站建设一些经验 - 防SQL注入攻击(三)

    作者: 阙荣文 ( querw ) 什么是SQL注入攻击,有什么危害 先来看一个例子说说SQL注入攻击是怎么回事,有什么危害. 在有用户参与的网站中,所有操作中最重要的就是登录.要求用户输入用户名和密 ...

  7. vb.net服务器启动后cpu占用了70_记一次服务器被异常程序占用的解决过程(怀疑黑客攻击)...

    最近在跑实验,但是突然发现程序运行变慢,然后top命令查看程序运行情况,发现有异常进程,名字叫 bash,占用 2400% CPU计算资源. 刚开始怀疑是挖矿程序,因实验室网络IP为教育网公网,怀疑被 ...

  8. SQL注入攻击的种类和防范手段

    观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. ...

  9. 2017-2018-2 20179216 《网络攻防与实践》 SQL注入攻击

    1. SQL语言 结构化查询语言(Structured Query Language)简称SQL:是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询.更新和管理关系数据库系 ...

最新文章

  1. 常考数据结构与算法:最长公共子串
  2. zip 密码算法 java,java zip 密码
  3. ActiveMQ学习笔记(21)----ActiveMQ集成Tomcat
  4. Java基础day9
  5. NHibernate3.2+Asp.net MVC3+Extjs 4.0.2项目实践(二): NHibernate数据访问层实现
  6. 浅谈ASP.NET的内部机制(二)
  7. c语言递归求n的阶乘之和,c语言用递归的方法实现1!+2!+3!+4!+.....+n!=?阶乘之和...
  8. Docker下部署wordpress
  9. Jar 包依赖冲突排查思路和解决方法(logback + slf4j-log4j12)
  10. mysql systemctl开机启动_Linux 开机启动项命令:chkconfig 和 systemctl
  11. 图书管理系统的分析与设计
  12. Swift 中枚举高级用法及实践
  13. Python 九九乘法表打印
  14. 使用F021_API_F2837xD_FPU32.lib 库函数遇到的问题 warning #10068-D: no matching section
  15. 理解Celery的worker
  16. 网易2018年春招 校招编程题
  17. linux 根目录变为只读了,如何在 Web 服务器文档根目录上设置只读文件权限 | Linux 中国...
  18. 交通流预测爬坑记(二):最简单的LSTM预测交通流,使用tensorflow2实现
  19. 为什么outlook不能改成HTML格式,如何解决Outlook 2016中的HTML格式问题
  20. 计算机基础知识---位运算的应用

热门文章

  1. 智能指纹门锁芯片方案技术开发
  2. vs2017 pdo mysql_在VS2017上使用Objectarx 2019向导
  3. pycharm贪吃蛇
  4. 车牌生成代码车牌后5位生成代码
  5. 数据的处理方法及触摸屏终端
  6. 安装 VMware tools时报错:不在 sudoers 文件中。此事将被报告。
  7. JavaScript 教程「3」:数据类型
  8. 半波对称振子方向图_HFSS:对称振子天线的方向图,为什么不对称?
  9. Oracle自治事务处理数据库OCPU可扩展性测试
  10. Linux:命令 执行操作符