首发于 泛IT专栏
Linux,没你想象的那么安全!

Linux,没你想象的那么安全!

51CTO博客专栏作者:@南非蚂蚁


上周,一个朋友要帮忙处理一下他在阿里云的Linux服务器,因为他说自己服务器上的文件都不见了,我登录上去查看后,发现了BananaCrypt勒索病毒,该勒索病毒加密文件后,会将文件后缀修改为“.bananaCrypt”。根据提示,受害者需要缴纳价值300美元的比特币才能解密文件。下图是骇客留下的勒索凭证:



网络中的Hacker就像现实生活中的小偷、强盗一样,多数作案基本都是随机的。可以说,在网络世界里,每个人、每个企业都面临着信息安全、资金安全的威胁。

下图是Norse Corporation最新发布的实时网络Hacker地图,向我们展示了全球实时发生的网络Hacker,看起来很好玩,深思很恐怖。这里看到的大多数公鸡都是机器人进行的,目的在于探测网络系统的软肋。右下角的方块显示了当前网络正遭受哪种类型的公鸡。



怎么样,很震撼吧!

根据网络数据统计,网络上各类应用脆弱排行榜如下:


Web 应用


Web 框架


端口


Web 容器


服务


为了避免骇客公鸡可能遭受的损失,防患于未然最关键,这里给大家总结了骇客的几种公鸡手段,知己知彼方能有备无患。

1、勒索病毒

勒索病毒就是利用恶意代码加密用户文件、收费解密的形式,向受害者索取金额的勒索软件,如果7天内不支付,病毒声称电脑中的数据信息将会永远无法恢复。

目前常见的勒索病毒及变种有很多,简单介绍如下:


Saturn勒索病毒

Saturn勒索病毒通过钓鱼邮件等方式传播,加密文件后以“ .saturn ”作为后缀。Saturn勒索病毒是暗网上公开提供的勒索病毒服务之一,服务提供商会从每次勒索赎金中抽取30%作为收益,勒索的赎金可由服务使用者自定义。


BananaCrypt勒索病毒

该勒索病毒加密文件后,会将文件后缀修改为“.bananaCrypt”。根据提示,受害者需要缴纳价值300美元的比特币才能解密文件。


Shifr勒索病毒变种CryptWalker

Shifr勒索病毒变种Cypher,该勒索病毒加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。


Data Keeper勒索病毒

该勒索病毒加密文件后并不会修改文件后缀,只有当用户主动打开文档时才会发现文档被加密了,这使得用户不知道自己电脑上究竟多少文档已经被加密,更加容易恐慌。根据分析,Data Keeper和Saturn勒索病毒一样,同为投放在暗网上的勒索病毒服务,勒索的赎金也可以由服务使用者自定义。


GlobeImposter勒索病毒

主要用来感染企业应用服务器,之前国内两家省级医院服务器疑似遭最新勒索病毒GlobeImposter的公鸡,骇客在突破企业防护边界后释放并运行勒索病毒,最终导致系统破坏,影响正常工作秩序。不法骇客要求院方在指定时间内支付价值几万到数十万人民币不等的比特币才可恢复数据。此病毒目的性很强,就是勒索钱财。

你没吃过亏,可能永远不明白数据有多珍贵。我们之前也经历过被臭名昭著的勒索病毒威胁的事情,文件被感染后,公鸡者给每个目录下都留下一封html的勒索信,告诉你要汇1个比特币到指定账户。现在1个比特币超过10万人民币了。

不过,幸运的是,我们这个服务器的数据都有备份,备份的数据在另外一个异地主机上,因此,损失不是很大,大部分数据得以恢复,仅丢失了很小部分数据。

所以,应对勒索病毒的最有效招数就是:备份,再备份。将数据经常做异地备份,但千万不要备份到本机,这毫无意义,同时,要养成备份习惯,比如一天增量备份、一周的全备份等策略。

2、挖矿病毒


比特币等虚拟货币的不断升值,挖矿这个词变得家喻户晓。除了不断涨价的显卡外,又有骇客动起了歪脑筋,设计出了挖矿病毒。挖矿病毒就是用你的服务器计算资源(CPU 、GPU)替他挖矿赚钱的牧马。主要表现为你的计算资源利用率很高,但网络流量一般。


目前常见的挖矿病毒有xmrig挖矿病毒、门罗币挖矿病毒、驱动挖矿病毒PuMiner等,相比之前的勒索病毒,挖矿病毒更加隐秘,你甚至不会察觉到你的服务器已经被公鸡,但是只要掌握了挖矿病毒的发作特征以及时刻关注服务器状态,就不难发现它。


那么挖矿病毒是怎么感染的呢,目前比较常见的有漏洞感染,例如前段时间闹得比较凶的Redis未授权访问漏洞,就是挖矿病毒的一种新型公鸡方式,在特定条件下,如果Redis以root身份运行,骇客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,继而导致服务器权限被获取和数据删除、泄露或加密勒索事件发生,严重危害业务正常服务。


由于部分服务器上的Redis绑定模式为“0.0.0.0:6379”,并且没有开启认证(这是Redis的默认配置,就是登录redis无需密码),以及该端口可以通过公网直接访问,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源IP访问等,将会导致Redis服务直接暴露在公网上,这就造成了其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。  


目前比较主流的案例:yam2 minerd挖矿程序,还有在多次应急事件中发现大量的watch-smartd挖矿牧马,都是通过此种方式进来的。


他们是如何公鸡的呢?看下面这个图:



基本的步骤是:

(1)利用扫描工具,弱口令扫描redis 默认的 6397端口
(2)本地生成 rsa ,储存到对方redis 缓存中
(3)利用redis config set 来写入一个文件
(4)最后 ssh 登录

如何做redis的安全防范呢,方法如下:

(1)以低权限运行 Redis 服务
(2)为 Redis 添加密码验证
(3)禁止外网访问 Redis
(4)修改默认端口
(5)保证 authorized_keys 文件的安全
(6)设置防火墙策略

3、十字符病毒


服务器不停的向外发包,网络流量暴满,且CPU持续100%。远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,这就是十字符病毒的典型特征。


这种病毒的运作机制基本是这样的:


首先植入一个病原体,然后通过cron每隔一段时间自动检测一次,如果牧马程序不存在,就从病原体复制一份儿到指定路径并重新命名,生成一个随机命名(10个字符的程序名)的程序,然后放到系统默认的路径/usr/bin/、/usr/sbin、/sbin等目录下,同时修改系统自启动配置让这些病毒程序开机自启动。
网络流量暴满、持续耗用CPU资源,病毒程序自动启动、无法杀掉,删除文件后,这些病毒文件自动生成,这就是十字符病毒的典型特征。


那么,此种病毒是如何进入的呢,一般这种类型的病毒进入方式是系统漏洞、程序漏洞等途径进入,而进入系统后,他并不破坏系统内的数据,这看似很友好,其实,他最主要的目的是占用你的网络带宽,继而形成僵尸网络,僵尸网络是一批被控制的主机,通过控制互联网上大量的主机带宽,僵尸网络就变得非常强大,一旦发起公鸡,往往会形成势不可挡的大规模网络故障,近期的断网事件和僵尸网络挖矿事件都是利用僵尸网络造成的。


如何清除这种类型的病毒,可参考我之前的博文: blog.51cto.com/ixdba/21

4、黑帽seo挂马网站


你可能遇到过这样的情况:本来打开的是这个网站,却突然跳转到了dubo网站,或者打开一个网站后,发现网站标题和内容不一样,明明打开的是一个技术网站,打开网页后,发现是一个dubo网站,还有一些就是网站的第一屏内容被替换成dubo网站,最下面是原本网站的内容,类似很多,如下图所示:


这其实就是典型的黑帽SEO(Search Engine Optimization:翻译为搜索引擎优化)zuobi手段,黑帽SEO就是作弊的意思,它通过垃圾链接,偷换页面,网页劫持,关键词堆砌、页面跳转、、挂黑链、网站镜像等技术,来获取搜索引擎的排名,继而从搜索引擎中获得更多的免费流量。

黑帽SEO主要的特点就是短、平、快,为了短期内的利益而采用作弊方法。同时随时因为搜索引擎算法的改变而面临惩罚。而黑帽SEO的目的是为网站提供生态式的自我营销解决方案,让其在行业内占据领先地位,获得品牌收益。

为了达到这个目的,黑帽SEO们挖空了心思,各种招数不尽其用,其中最常用的就是页面跳转,关键字替换,看下面一个案例:


这段js代码是从服务器上取下来的,很明显,他是将所有从搜索引擎过来的流量都跳转到了代码里面指定的一个站点上了,这样无形中,将搜索引擎流量转给了其他非法网站。


那么这个js是怎么注入的呢,这就是利用了网站的程序的漏洞,将js传上去了。


此外,还有其他类似的注入手段,主要有几个步骤:


第一步,从快照内容中获取关键词并替换成自己的关键词,第二步,构造语句函数代码,第三步,采集内容提供给搜索蜘蛛,第四步,设置需要跳转到的网址。通过这四个步骤,不但获取了流量,也提示了自己网站的关键词,最终,提示了自己网站权重,达到了宣传、推广的目的。


此种注入方式,一般攻陷的是一些技术类网站、专业类网站,甚至政府网站,因为这些网站在网络上的信誉评分很高,并且搜索引擎在搜索时也会向前推荐,所以这些网站就成了他们注入的目标。


说了这么多,要如何防范这些黑帽SEO呢,总结主要有如下几个方面:


1、网站的程序安全漏洞、安全要加固,保证没有程序漏洞,这是最重要的部分。
2、对服务器目录权限的安全部署,对管理员账号密码加密,尽可能设置的复杂一些。
3、数据库不要对外网公开,修改默认端口,推荐仅本地127.0.0.1才能进行连接数据库。
4、对服务器底层系统进行安全加固,包括远程端口登录的安全验证。防火墙一定要设置。
5、定期对网站代码进行整体的安全检测,包括定期的升级网站程序源代码,修复补丁以及网站漏洞。


安全是相对的,要保证系统安全,安全是目的,防范是手段,通过防范的手段达到或实现安全的目的,是作为运维人员安全防范的基本准则。

技术彩蛋

~~~~~~~~~~~~~~~~~~~~~~~~~~~
说了这么多,那么问题来了,怎么样保证系统安全、稳定呢,我将多年来工作经验进行了总结和提炼,写成了专栏 《Linux运维大牛实战心法》 点击前往,15个案例打通运维任通二脉,让案例说话。

代做工资流水公司昆明购房银行流水模板岳阳做工资代付流水天津打个人工资流水福州办理薪资流水单肇庆查车贷工资流水常州做收入证明镇江做签证流水商丘企业对私流水开具中山房贷流水样本沧州签证银行流水 价格廊坊代做贷款银行流水上海打银行流水宁波工资流水账单打印株洲房贷工资流水 价格福州房贷流水费用金华背调流水制作阜阳贷款银行流水公司惠州在职证明代做佛山打印工资证明南昌公司银行流水费用长春代做薪资银行流水漳州公司流水价格许昌工作收入证明报价曲靖代做企业对公流水荆州打印签证流水汕头办消费贷流水无锡入职工资流水制作潮州制作薪资流水单镇江工作收入证明费用株洲开银行流水账香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声卫健委通报少年有偿捐血浆16次猝死汪小菲曝离婚始末何赛飞追着代拍打雅江山火三名扑火人员牺牲系谣言男子被猫抓伤后确诊“猫抓病”周杰伦一审败诉网易中国拥有亿元资产的家庭达13.3万户315晚会后胖东来又人满为患了高校汽车撞人致3死16伤 司机系学生张家界的山上“长”满了韩国人?张立群任西安交通大学校长手机成瘾是影响睡眠质量重要因素网友洛杉矶偶遇贾玲“重生之我在北大当嫡校长”单亲妈妈陷入热恋 14岁儿子报警倪萍分享减重40斤方法杨倩无缘巴黎奥运考生莫言也上北大硕士复试名单了许家印被限制高消费奥巴马现身唐宁街 黑色着装引猜测专访95后高颜值猪保姆男孩8年未见母亲被告知被遗忘七年后宇文玥被薅头发捞上岸郑州一火锅店爆改成麻辣烫店西双版纳热带植物园回应蜉蝣大爆发沉迷短剧的人就像掉进了杀猪盘当地回应沈阳致3死车祸车主疑毒驾开除党籍5年后 原水城县长再被查凯特王妃现身!外出购物视频曝光初中生遭15人围殴自卫刺伤3人判无罪事业单位女子向同事水杯投不明物质男子被流浪猫绊倒 投喂者赔24万外国人感慨凌晨的中国很安全路边卖淀粉肠阿姨主动出示声明书胖东来员工每周单休无小长假王树国卸任西安交大校长 师生送别小米汽车超级工厂正式揭幕黑马情侣提车了妈妈回应孩子在校撞护栏坠楼校方回应护栏损坏小学生课间坠楼房客欠租失踪 房东直发愁专家建议不必谈骨泥色变老人退休金被冒领16年 金额超20万西藏招商引资投资者子女可当地高考特朗普无法缴纳4.54亿美元罚金浙江一高校内汽车冲撞行人 多人受伤

代做工资流水公司 XML地图 TXT地图 虚拟主机 SEO 网站制作 网站优化