云服务器被挖矿木马入侵怎么办?“挖矿木马”开始大规模流行于2017年初,黑客通过网络入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU算力完成大量运算,从而获得数字加密货币。2017年开始爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。

 服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。 面对越来越严峻的安全挑战,企业应该加大对主机安全的重视程度和建设力度。

 挖矿木马作为目前主机面临的最普遍威胁之一,是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁,并在此过程中促进企业网络安全能力提升,应当成为企业安全管理人员与网络安全厂商的共同目标。

云服务器被挖矿木马入侵怎么办?腾讯云安全解决方案(图1)

 腾讯云近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。

 云服务器安全防护建议:

 1. 针对联网主机防护挖矿团伙入侵的一般建议

 1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码; 2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。 3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。

 2. 失陷系统的排查及清除

 1、检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程; 2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除;

 3、如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

 腾讯云安全解决方案:

云服务器被挖矿木马入侵怎么办?腾讯云安全解决方案(图2)

 针对近期挖矿木马家族异常活跃的现状,腾讯安全团队及时响应,腾讯安全全系列产品升级相应的检测、防御规则,确保部署腾讯安全产品的用户不受影响:

 应用场景安全产品解决方案:

 威胁情报腾讯T-Sec威胁情报云查服务(SaaS)1)相关流行挖矿木马黑产团伙相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。

 腾讯T-Sec高级威胁追溯系统1)相关流行挖矿木马黑产团伙相关信息和情报已支持检索。网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。

 云原生安全防护云防火墙(Cloud Firewall,CFW)基于网络流量进行威胁检测与主动拦截,已支持:1)相关流行挖矿木马关联的IOCs已支持识别检测;2)支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

 腾讯T-Sec 主机安全(Cloud Workload Protection,CWP)1)已支持查杀相关流行挖矿木马程序;2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。

 腾讯T-Sec 安全运营中心基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

 非云企业安全防护腾讯T-Sec高级威胁检测系统(腾讯御界)1)已支持通过协议检测相关流行挖矿木马与服务器的网络通信;2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

 
分享
继续阅读相关文章

发表评论 快来秀出你的观点

评论区暂时关闭,请谅解!
评论 点赞 收藏