最近在阿里云上部署的 Windows 服务器和 Linux 服务器都出现了安全告警。

Windows 服务器上的安全告警如下图:

Windows 服务器安全告警

Linux 服务器上的安全告警如下图:

Linux 服务器安全告警

这两个告警都是因为服务器 CPU 使用率异常高后,才去阿里云找,看阿里云上有没有什么有用的信息帮助我分析为什么。于是就在云安全中心看到了这些安全告警。

从告警信息可以看出,这两台服务器都被入侵了。Windows 那个查出来是在挖门罗币。Linux 没看出来它在干啥,很有可能也是挖币。

他们入侵后挖币还好,之前在网上看到过,有入侵后对你数据加密,再向你勒索的。Windows 那台测试用,还好。Linux 那台可是有重要数据的,那被勒索了可就麻烦了!

从安全告警信息可以推测出,他们是利用了 Oracle 和 Confluence 的漏洞进行入侵,去执行下载命令并运行下载的程序。

给我的启发:

  1. 要及时升级软件。例如,Confluence 应该跟着官方升级。
  2. 要及时打上软件的补丁包。例如,Oracle 的安全补丁。
  3. 要及时升级操作系统。
  4. 开启防火墙,不需要向外暴露不需要暴露的端口。例如,Oracle 的端口。
  5. 可以再严格一点,防火墙上设置,除了操作系统更新程序,不允许其他程序访问网络。(对外暴露端口和访问网络不是一回事。)
  6. 为各个服务建立专属用户,用专属用户运行各自的服务。不允许使用超级管理员运行服务。同时对文件的权限加以限制,服务对应的用户只能访问与服务有关的文件,不允许访问其他文件。可以减少被勒索的程度。
  7. 对于我们自己开发的系统,应及时更新第三方库。
  8. 使用云服务商的安全服务帮助监控、处理安全风险。

发表回复

您的电子邮箱地址不会被公开。