| 最近很多小夥伴服務器都被挖礦了,簡單總結下在應急過程中,常遇到的一些被挖礦的特徵,以及防護方法,工具後面會進行詳細的介紹分享。 |
要防止被挖礦,首先要明白挖礦的本質。挖礦本質就是快速產出,利用可以利用的資源,實現快速產出,獲取收益。爲什麼要明白這個道理,就是因爲,挖礦的人,大多不會把時間花費在你的某臺服務器上,大多做法是通過網絡空間搜索引擎或端口掃描工具等,進行整個網段的批量掃描,根據掃描結果篩選出能夠快速自動化拿到權限的機子,再去自動化跑腳本處理。比如我通過fofa直接搜索redis,就可以拿到開放了redis,並且可以直接登錄的服務器的列表,那我肯定直接導出列表,針對這些ip去拿權限。
這種主要出問題的地方就是未授權漏洞,常見的未授權漏洞如下:
- Hadoop未授權——50070
- Mongodb未授權——27017
- Redis未授權——6379
- Elasticsearch未授權——9200
- Memcached未授權——11211
- Zookeeper未授權——2181/2888/3888
- JBOSS未授權——8080
- Docker未授權——2375
- Rsync未授權——873
還有Gitlab、Jenkins、NFS、Samba等都有某些版本或因爲配置不當存在未授權可訪問的漏洞
除未授權漏洞之外,最多的被挖礦的,就是弱密碼,包括:
- 服務器系統用戶弱口令
- web弱口令
- 中間件web管理端弱口令
- 應用弱口令
比如常用的phpMyAdmin弱口令、一些測試服務器web測試賬號弱口令等。除以上兩種,還有一些利用條件不高的高危系統或組件漏洞,也需要注意
針對這種問題,最好的防護方法就是自己做掃描檢測,在fofa、shodan、zoomeye、censys等網絡搜索引擎,直接輸入自己的服務器ip地址,即可看到服務器暴露了哪些服務、哪些端口,從而進行確認自己服務器的安全問題可能出現在那裏
當然你也可以通過nmap、zenmap、unicornscan、nast、msscan等端口掃描工具來查看自己服務器對外的端口,確認服務器的安全狀況,該加授權訪問的加授權,該加白名單的加白名單。對於弱密碼的情況,如果是可控的情況,肯定是直接設置不允許弱口令,比如ssh,可以通過修改系統口令複雜度要求來完成,對於接手的服務器,或系統,可以通過一些工具,比如xscan、f-scrack、hydra、hscan等類型的工具,對弱口令進行掃描。若是web端的弱口令,我常用的方法是通過brup+字典的形式進行掃描,你也可以通過Cheetah、WebCrack等工具來測試,前提是獲得內部許可。針對系統及組件的漏洞,可以通過Nessus自己進行安全檢測,也可以通過審計工具lynis對服務器安全基線進行掃描。
若不幸,已經被挖礦,那隻好緊急處理,處理的原則就是儘快恢復業務
雲服務器就相對簡單了,如果是平常有做定時快照,及異地數據備份的,先將挖礦服務器做快照備份,用於事後覆盤,然後恢復快照恢復數據及業務
如果是物理服務器就比較麻煩了,如果業務不能長時間中斷,可以考慮先將業務切換到其他服務器,然後再進行排查清理
常見 的排查工具如下:
- GScan
- rkhunter
- FastIR
等,都可以生成應急報告,根據報告進行確認及排查處理。
進攻是最好的防守,只有自己先了解了自己的弱點所在,才能做到更好的防禦
本文地址:https://www.linuxprobe.com/server-being-mined-defense-plan.html