服务器被黑的经历和排查过程

最近,我的服务器突然收到了一个502错误的通知,这让我感到非常不安。经过检查,我发现服务器上运行着多个挖矿程序,这表明我的服务器已经被黑了。虽然我禁止了root登录,但为了方便,我给常用账户设置了sudo免密,而且没有对服务进行用户隔离,因此入侵者已经获得了root权限。

清理过程

首先,我停掉了docker服务,并删除了挖矿镜像。接着,我发现了一些可疑的脚本和进程,如挖矿程序的保活脚本、哪吒探针等。随后,我进行了以下清理步骤:

  1. 使用kill命令终止恶意进程,并删除恶意文件。
  2. 检查并清理环境变量。
  3. 清理systemd和crontab的自启脚本。
  4. 检查/etc/passwd文件中的陌生用户。
  5. 检查服务器的进出流量。
  6. 检查/proc目录下的内容和挂载,查找隐藏进程。
  7. 检查LD相关的内容,确认是否有动态库被劫持。
  8. 检查内核是否被修改,因为服务器是裸金属的。
  9. 使用rkhunter和chkrootkit工具检测rootkits。

入侵路径

最后,我需要找出入侵者是如何黑进服务器的。在分析恶意进程时,我发现了一个在前端目录下的可疑可执行文件。这是一个Next.js React项目,是一个我之前为姐姐开发的在线阅读器。当时React漏洞爆出时,我还开玩笑说世界将会有更多肉鸡,没想到我自己就成为了受害者。

复盘

从这次事件中,我学到了以下几点:

  1. 关闭不必要的服务。
  2. 不要给普通用户设置sudo免密。
  3. 做好权限隔离,特别是对外服务。

结语

这次经历让我意识到,安全防护是非常重要的。我们应该时刻保持警惕,定期检查和更新我们的系统,以防止类似事件的发生。同时,我们也应该从这次事件中吸取教训,加强我们的安全措施,以保护我们的服务器和数据安全。

标签: none

评论已关闭