我的 ECS 服务器挖矿入侵及整改
昨天收到了阿里云的紧急告警短信和邮件通知。
“告警描述:检测模型发现您的服务器上运行了挖矿程序,挖矿程序是一类侵占主机计算资源,进行虚拟货币挖掘的程序,主机往往可见CPU占用飙高,以及其他相关的恶意程序。”
其实今年九月份也出现过一次这种情况,阿里云平台紧急告警检测到我的ECS存在挖矿活动,请立即整改,否则服务器将被关停。
看着复杂的植入后门代码,不知所措,只好联系阿里云售后工程师,授权敏感权限给工程师,帮我操作并解除被植入的挖矿程序。
后面我就付费启用了阿里云的云安全服务,安稳了一段时间,再也没收到过告警通知。后面我看没啥问题,就取消付费了。
没想到维持没多久,昨天又收到了一次告警通知。
为了彻底解决问题,我决定进行全面整改,询问了阿里售后工程师,工程师给我提供了一些建议。
我想应该是我当时配置服务器环境的时候,放行了很多没有使用的端口,被暴力破解了。
我明白了之后就重新安装了操作系统,修改了复杂的ECS实例密码,并删除了没有必要的放行端口(并把22/3389端口指定了授权IP访问)我不经常用到SSH远程连接等相关的服务,只保留了80和443端口。安装了宝塔面板,其他多数操作均可通过宝塔面板完成。
接下来把宝塔面板上的数据库工具“phpMyAdmin”取消了公共访问权限。
经过这一次的事件,大家一定要记住,服务器端口放行的原则是“不用不放,用完删除”。
- 上一篇: 检测家庭用水,保障健康之源
- 下一篇: 没有了
可恨的恶意者
黑客还是厉害啊!
从日常经验来看,暴力破解的可能性不是很高,安装脚本和程序时被投毒的可能性更大点。
云服务app可以随时手动开启端口哈,我把该关的都关了。
我 22 端口限定 ip,换个地方就重新设置安全组。虽然麻烦,但是保险。
要不直接把22端口关了换一个?
正中下怀。我那天发了这条评论之后,心念一动,把 22 也换了。
我一直是关闭的,用的时候才开
我还在用虚拟主机🥲
省了不少麻烦
确实
以后我再也不乱动端口了,对我来说,放行80/443足矣😂
不用不放,用完删除.这个安全策略不错。
嗯呢,以后不乱放行端口了😂