最近很多小伙伴的服务器都被挖了。下面简单总结一下被挖矿的一些特点以及应急过程中经常遇到的保护方法。后面会详细介绍和分享这些工具。问题是防止被开采。首先,我们要了解挖矿的本质。挖矿的本质是快速生产,利用可用资源实现快速产出,获得收益。为什么要明白这个道理?这是因为挖矿的人,他们中的大多数人不会花时间在你的一台服务器上。大多使用网络空间搜索引擎或端口扫描工具对整个网段进行批量扫描,根据扫描结果筛选出能够快速自动获取权限的机器。然后去自动化脚本处理。比如我直接通过fofa搜索redis,可以得到一个已经开通redis的服务器列表,可以直接登录。那我肯定直接导出列表,用这些IP去获取权限的共同特征。问题是未经授权的漏洞。常见的未授权漏洞如下:Hadoop未授权—50070Mongodb未授权—27017Redis未授权—6379Elasticsearch未授权—9200Memcached未授权—11211Zookeeper未授权—2181/2888/3888JBOSS未授权—8080Docker未授权—2375Rsync未授权—873Gitlab,Jenkins、NFS、Samba等均存在一定版本或配置不当存在越权访问漏洞除了越权漏洞外,弱口令被挖掘的最多,包括:服务器系统用户弱口令web弱口令中间件web管理终端弱口令应用弱口令如常用的phpMyAdmin弱口令、部分测试服务器web测试账号弱口令等。除以上两种外,还有一些高危的系统或组件漏洞,可利用性不高。您还需要注意事先进行自我检查。对于这种问题,最好的防护方法就是自己扫描检测,在fofa、shodan、zoomeye、censys等网络搜索引擎中,直接输入自己的服务器ip地址,就可以看到被暴露了哪些服务和端口服务器,以确认您的服务器可能出现安全问题。当然你也可以使用nmap、zenmap、unicornscan、nast、msscan等端口扫描工具检查你服务器的对外端口,确认服务器的安全状态。加授权访问,加授权白名单,加白名单弱密码,如果是可控的情况,必须直接设置为不允许弱密码,比如ssh,可以通过修改系统密码复杂度要求来实现,对于接管的服务器或系统,可以使用一些工具,如xscan、f-scrack、hydra、hscan等,扫描弱口令。扫一扫,也可以使用Cheetah、WebCrack等工具进行测试。前提是获得针对系统和组件漏洞的内部权限。可以通过Nessus自身进行安全检测,也可以使用审计工具lynis扫描服务器安全基线进行应急恢复。可惜已经开采完毕,必须紧急处理。处理原则是尽快恢复业务云服务器。如果是物理服务器,事后恢复磁盘,再恢复快照恢复数据和业务会比较麻烦。如果业务长时间不能中断,可以考虑先将业务切换到另一台服务器上,然后检查清理。常用的故障排除工具有:GScanrkhunterFastIR等,可以生成应急报告,根据报告进行确认和故障排除。总结:进攻是最好的防守。只有先了解自己的弱点,才能做到更好的防守。本文转载自微信♂“运维研究会”,转载可通过以下二维码关注本文,转载请联系运维研究会公众号。
