腾讯云香港的云服务器搭建了一个中型电商公司通过业务系统,并通过云服务器提供了用户登录、支付、数据存储等功能。经过一段时间未曾察觉的入侵行为,攻击者成功获取了服务器的管理权限,并通过漏洞利用了系统中的某些配置错误。最终,管理员发现了异常流量后,迅速启动了应急响应程序。下面,详细描述了在这一事件中采取的应对措施,以及如何修复问题并增强系统安全性。
1. 初步发现入侵
电商公司使用的是腾讯云香港服务器,具体配置如下:
- 实例规格:S2.SMALL2(2核 CPU,4GB 内存,20GB 系统盘)
- 操作系统:Ubuntu 20.04 LTS
- 应用环境:Nginx 反向代理,MySQL 数据库,Redis 缓存服务
- 安全防护:腾讯云默认的安全组规则、云防火墙开启
入侵的迹象最早由系统日志中的不明 IP 地址引起。管理员注意到,异常的登录请求频繁出现,并且来自多个国家的 IP 地址尝试以暴力破解的方式登录到管理员后台。进一步排查后,发现攻击者成功获取了管理员账号密码,并通过 SSH 连接进入了云服务器。
2. 应急响应及解决步骤
断开服务器网络连接:
为了防止进一步的攻击,管理员首先采取了隔离措施,将受影响的云服务器从公网断开,停止所有外部流量的访问。具体操作如下:
登录腾讯云控制台,进入该云服务器的“安全组”设置界面,禁用所有入站流量;
切断服务器与外部网络的连接,确保攻击者无法通过远程登录或其他方式进一步控制服务器。
排查入侵路径:
通过审查系统日志和监控数据,管理员确定攻击者通过暴力破解 SSH 密码的方式成功入侵了云服务器。具体的漏洞点如下:
- 弱密码问题:管理员账号采用了简单的密码,容易被暴力破解工具攻破;
- SSH 配置问题:默认的 SSH 配置没有禁用 root 登录,并且没有启用密钥认证登录。
管理员登录服务器后,首先清除服务器上任何异常的用户账户,并查看 SSH 的历史登录记录:
lastlog
通过对登录时间、IP 地址的分析,确认了攻击者的登录路径和操作行为,进一步定位到了攻击者所植入的恶意代码。
清理服务器:
清理过程包括以下几个步骤:
- 查杀恶意软件:使用 `rkhunter` 和 `chkrootkit` 工具扫描系统,清除潜在的木马和后门程序;
- 恢复系统文件:从最新的备份中恢复了被篡改的配置文件,确保系统回到正常状态;
- 检查启动项:通过检查系统的 `rc.local` 和 `cron` 任务,确保没有恶意程序设置在开机启动项中。
rkhunter --check
chkrootkit
强化服务器安全:
为避免类似事件再次发生,管理员对服务器进行了以下加强措施:
①修改所有密码:更改管理员账号和所有相关用户的密码,使用强密码,采用密码管理工具存储。
②禁用 SSH root 登录:修改 `/etc/ssh/sshd_config` 文件,禁用 root 登录,并启用基于 SSH 密钥的身份验证。
PermitRootLogin no
PasswordAuthentication no
③开启防火墙:使用腾讯云提供的安全组功能,进一步限制访问源 IP,只允许授权的 IP 地址访问 SSH 和其他重要端口。
④开启二次验证:启用 Google Authenticator 或其他 MFA(多因素认证)进行登录验证,防止账号密码泄露后被再次入侵。
sudo apt-get install libpam-google-authenticator
⑤定期审计和日志监控:使用 `fail2ban` 和云防火墙日志监控工具,自动阻止暴力破解和其他异常访问行为。
sudo apt-get install fail2ban
⑥更新系统和应用软件:安装最新的安全补丁,确保操作系统和应用程序没有已知的安全漏洞。
sudo apt update && sudo apt upgrade -y
⑦ 数据备份:定期对业务数据进行备份,确保在出现安全问题时可以快速恢复。
通过一系列应急响应措施,入侵事件得到有效控制,并且系统恢复至安全状态。为了减少未来发生类似事件的概率,管理员采取了以下长期预防措施:
- 定期安全扫描:定期进行漏洞扫描,及时发现潜在的安全隐患;
- 完善密码策略:使用强密码,并结合多因素身份验证,增加系统的安全性;
- 员工安全培训:定期对员工进行安全意识培训,防止钓鱼邮件等社交工程攻击;
- 云安全解决方案:利用腾讯云的安全服务,如云防火墙、DDoS 防护、WAF(Web 应用防火墙)等,为业务系统提供额外的保护。
虽说云服务商提供了很多安全措施,但用户仍需主动采取适当的安全防护措施。通过合理配置、定期审查和快速响应,可以有效防止和应对服务器被入侵的安全事件。
