Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

阿里云服务器被挖矿的安全报告及建议



         春节刚开始,我们SINE安全,发布了2018年服务器被挖矿的整体安全分析报告。该安全报

告主要是以我们去年的整一年的安全数据为基础,对这些服务器的被挖矿
的整体情况进行了详细

的安全分析,为站长以及一些中小企业公司提出了合理的服
务器安全防护建议。
 
 
在去年的虚拟币市场中,虽然虚拟币经历了暴跌的情况,但是服务器被挖矿的情况还是持续性的

增长趋势,背后是一些攻击者利用服务器的漏洞以及网站漏洞进行入
侵服务器,拿到服务器权限

,在服务器系统里置入木马后门进行挖矿。

 
 
下面挖矿的安全报告我们来简要的跟大家分享一下:
 
 
去年很多网站系统以及APP应用出现漏洞,PHPCMS 注入漏洞,Thinkphp远程代码执行漏洞,

dedecms缓存漏洞,ecshop远程写入漏洞,给整个网络安全带来了很大的
危害,关于最新的

漏洞利用以及如何产生的漏洞,我们SINE安全对其公开与分享,
对网站的漏洞修复以及补丁,

及时的告知与相应,让损失降到最低。
我们调查分析发现,从网站漏洞被爆出后到修复漏洞的

时间约大,一些网站被攻击
的状况就越严重,服务器被挖矿的事情就会发生,如果及时的修复

漏洞,那么就可
以避免被挖矿。
 
 
关于服务器被挖矿我们统计了一下,网站漏洞,RDP远程登录,SSH远程恶意登录,暴力猜解

root的账号密码以及mysql数据库的账号密码猜解,成为了服务器被挖矿
的主要原因,而大部分

的服务器被挖矿主要是因为密码太简单,有的服务器使用了
弱密码,像123456,111111,888888

,这样的密码都会导致服务器被攻击。


 
 
挖矿的幕后操纵者,都会置入挖矿木马到服务器系统里,像Linux系统,windows系统,都会置

入到底层系统核心里,大多数都会隐藏挖矿木马的进程以及文件夹,有
些还是感染性的,自带

攻击属性对局域网的其他服务器进行恶意扫描,像之前的永
恒之蓝漏洞,进行135,139等端口的

远程溢出进行上传挖矿木马,进行入侵服务器
,来进行挖矿。有些攻击者会对挖矿木马进行加密

,源代码的混淆,伪装系统的进
程,恶意开启端口代理,来达到木马免杀的效果,避免让杀毒软

件扫描出来。


 
关于服务器被挖矿的安全部署与防护策略
 
服务器被挖矿的情况时有发生,我们要对服务器进行详细的安全部署,对远程登录的端口进行更

改,像windows的3389端口,改掉,SSH的22端口也要改掉,管理员的
账号密码也要更改为数字

+字母+符号+大小写的组合来,避免被暴力猜解。对网站
的漏洞进行安全检测,发现漏洞立即进

行修复,打补丁。有些网站使用开源的系统
,要定期的检查系统是否需要更新。如果使用的阿里

云服务器,要经常登录服务器
查看阿里云云盾的安全提醒,如果出现webshell安全提示,以及阿

里云挖矿提示,
挖矿恶意进程等安全提示,要尽快进行处理,如果对安全不是太懂的话,建议找

业的安全公司处理,国内像SINE安全,绿盟,启明星辰,都是比较专业的。对于一些网站管理

员的账号密码,也要加强,数据库mysql,sql2008等数据库的管理员账
号密码也要更改,对数据库

的端口也要禁止对外。
分享: