Di era informasi saat ini, pesatnya perkembangan teknologi komputasi awan memberikan kemudahan bagi perusahaan, namun juga membawa serangkaian risiko keamanan. Baru-baru ini, insiden server Alibaba Cloud ECS yang ditanamkan Trojan penambangan telah menarik perhatian luas. Artikel ini akan mempelajari proses penanganan dan penyelesaian insiden ini, berbagi pengalaman praktis, dan membantu pembaca lebih memahami dan merespons ancaman keamanan serupa.

1. Latar belakang peristiwa dan temuannya

Alibaba Cloud ECS, sebagai layanan komputasi awan terkemuka, memberi pengguna penerapan dan manajemen server yang efisien. Namun, baru-baru ini diketahui bahwa beberapa server Alibaba Cloud ECS telah ditanamkan Trojan penambangan, sehingga menimbulkan risiko besar terhadap keamanan data pengguna. Penemuan masalah ini berawal dari pemeriksaan keamanan rutin. Pengguna menemukan bahwa server berjalan tidak normal dan pemanfaatan sumber daya sangat tinggi.

2. Proses pemrosesan dan penambangan Trojan

Menghadapi ancaman keamanan ini, tim Alibaba Cloud ECS merespons dengan cepat dan meluncurkan rencana darurat keamanan. Pertama, melalui analisis log dan pemantauan jaringan, mereka menemukan sumber aktivitas abnormal dan memastikan bahwa server memang mengalami serangan Trojan penambangan. Selanjutnya, pakar keamanan melakukan pemeriksaan mendalam dan menemukan bahwa Trojan disembunyikan di file sistem utama dan melanjutkan penambangan dengan memodifikasi proses sistem, yang secara serius mengancam stabilitas pengoperasian server dan keamanan data.

3. Solusi dan perbaikan sistem

Menanggapi ancaman penambangan Trojan, tim Alibaba Cloud ECS dengan cepat mengembangkan dan menerapkan solusi. Pertama, mereka mengisolasi server yang terkena dampak, memblokir jalur penyebaran Trojan dan menghindari infeksi yang lebih luas. Selanjutnya, tim keamanan menggunakan alat keamanan yang dikembangkan sendiri untuk melakukan pemindaian menyeluruh dan pembersihan server untuk memastikan bahwa Trojan telah dihapus sepenuhnya. Terakhir, mereka memperkuat kebijakan keamanan dan mekanisme pemantauan untuk meningkatkan keamanan server secara keseluruhan.

4. Berbagi pengalaman dan tindakan preventif

Kejadian ini membawa pembelajaran berharga bagi tim Alibaba Cloud ECS. Ketika menangani insiden keamanan serupa, respons tepat waktu dan lokasi masalah yang cepat sangatlah penting. Selain itu, memperkuat pelatihan kesadaran keamanan dan memindai serta memperbaiki kerentanan keamanan secara berkala merupakan langkah efektif untuk mencegah ancaman keamanan seperti penambangan Trojan. Yang terpenting adalah melakukan backup data penting untuk menjamin keamanan data jika terjadi situasi yang tidak terduga.

5. Ringkasan dan Outlook

Melalui penanganan insiden ini, tim Alibaba Cloud ECS tidak hanya berhasil mengatasi ancaman keamanan, namun juga meningkatkan kemampuan perlindungan keamanannya sendiri. Dalam lingkungan jaringan yang semakin kompleks, memperkuat kesadaran keamanan dan melakukan pekerjaan dengan baik dalam perlindungan keamanan adalah kunci untuk memastikan keamanan data server. Di masa depan, Alibaba Cloud ECS akan terus menginvestasikan lebih banyak sumber daya untuk meningkatkan teknologi keamanan dan menyediakan layanan komputasi awan yang lebih aman dan andal kepada pengguna.

Melalui analisis komprehensif artikel ini mengenai insiden implantasi Trojan penambangan Alibaba Cloud ECS, saya yakin pembaca akan memiliki pemahaman yang lebih mendalam tentang proses dan solusi penanganan insiden keamanan. Saat ini, ketika keamanan jaringan menjadi semakin penting, memastikan keamanan data telah menjadi tanggung jawab setiap perusahaan dan individu. Hanya dengan terus belajar dan meningkatkan kesadaran keamanan kita dapat melawan berbagai ancaman keamanan dengan lebih baik, menjamin keamanan data, dan mencapai hidup berdampingan yang harmonis di dunia online.

The four most famous international exchanges:

Binance INTL	OKX INTL	Gate.io INTL	Huobi INTL
China Line　APP DL	China Line　APP DL	China Line　APP DL	China Line　APP DL

Note: The above exchange logo is the official website registration link, and the text is the APP download link.

Server Alibaba Cloud ECS saat ini digunakan oleh banyak pelanggan situs web. Sistem yang berbeda dapat digunakan di server, windows2008
Sistem Windows 2012 dan Linux dapat digunakan di server Alibaba Cloud. Beberapa waktu lalu, SINE Security kami menerima permintaan keamanan dari pelanggan. Dikatakan bahwa mereka menerima pesan teks pengingat dari Alibaba Cloud, mengingatkan server bahwa ada proses penambangan , dan harap segera tangani alarm keamanan. Situs web pelanggan tidak dapat dibuka secara normal, dan bahkan koneksi jarak jauh SSH ke server diblokir, yang berdampak besar pada pelanggan.

Segera, teknisi keamanan SINE kami melakukan pemeriksaan keamanan komprehensif di server pelanggan, masuk ke platform kontrol Alibaba Cloud, dan masuk melalui akses jarak jauh lokal. Kami menemukan bahwa CPU server pelanggan mencapai 100%. rekam dan temukan bahwa biasanya 100%. Skor berfluktuasi antara 20-35%. Kami memeriksa proses di TOP dan melacak proses mana yang menempati CPU CPU. Dari permasalahan yang diperiksa di atas, kita dapat menilai bahwa server pelanggan telah ditanamkan mesin penambangan. Program penambangan dan server diretas, menyebabkan keamanan Alibaba Cloud memperingatkan bahwa ada proses penambangan.

Ternyata server pelanggan terinfeksi oleh Trojan penambangan. Mari kita lihat tangkapan layar dari proses teratas:

Kami mencari ID proses yang menduduki dan menemukan bahwa file tersebut berada di direktori tmp sistem Linux. Kami secara paksa menghapus file tersebut dan menggunakan perintah untuk menghapus proses secara paksa untuk menghapus proses tersebut. 10 dari 10, akar penambangan terletak di sini, jadi bagaimana peretas menyerang server dan menanamkan Trojan penambangan? Dilihat dari pengalaman keamanan kami selama bertahun-tahun di SINE Security, situs web pelanggan mungkin telah dirusak, dan kami segera meluncurkan penyelidikan. Inspeksi keamanan komprehensif pada situs web pelanggan. Pelanggan menggunakan sistem pembuatan situs web dedecms dan arsitektur database php+mysql open source. Inspeksi keamanan dilakukan pada semua kode, gambar, dan database ke direktori root situs web. Saya berkonsultasi dengan pelanggan tentang file Trojan. Pelanggan mengatakan bahwa dia telah menerima pengingat pintu belakang webshell dari Alibaba Cloud sebelumnya, tetapi dia tidak memperhatikannya saat itu.

Akar penyebab kerentanan program Trojan penambangan yang ditanamkan ke server kali ini adalah kerentanan situs web secara manual memperbaiki kerentanan kode dedecms, termasuk kerentanan eksekusi kode jarak jauh yang ada sebelum kode, dan SQL. kerentanan injeksi. Kami telah memperbaiki kerentanan secara komprehensif, izin folder situs web diterapkan dengan aman, backend dede default telah dimodifikasi untuk pelanggan, dan perlindungan kata sandi sekunder ditambahkan ke backend situs web.

Hapus pintu belakang Trojan, dan temukan rencana tugas yang ditambahkan oleh penyerang dalam tugas terjadwal server. Setiap kali server di-restart dan setiap 1 jam, Trojan penambangan secara otomatis dijalankan pengguna sistem dicentang. Pengguna administrator tingkat root lainnya telah ditambahkan, tetapi ternyata mereka tidak ditambahkan. Periksa tautan balik server, termasuk apakah port jahat tersebut memiliki tautan IP lain, netstat
-an memeriksa status keamanan semua port dan menemukan bahwa tidak ada pintu belakang Trojan jarak jauh yang ditanamkan. Keamanan port pelanggan diterapkan dengan aman dan iptables digunakan untuk membatasi arus masuk dan keluar port.

Pada titik ini, masalah penambangan Trojan di server klien telah sepenuhnya terpecahkan. Mengenai perlindungan dan solusi penambangan Trojan, mari kita rangkum

Jam berapa:

Secara teratur melakukan inspeksi keamanan pada kode program situs web untuk memeriksa apakah ada pintu belakang webshell, secara teratur meningkatkan versi sistem situs web dan memperbaiki bug, dan melakukan verifikasi kata sandi sekunder untuk login latar belakang situs web untuk mencegah situs web memiliki kerentanan injeksi SQL dan mendapatkan administrator akun. Kata sandi untuk masuk ke backend. Gunakan kebijakan keamanan port Alibaba Cloud untuk membuka port 80 dan 443. Port SSH yang tersisa adalah IP yang dirilis. Saat Anda perlu masuk ke server, buka backend Alibaba Cloud untuk menambahkan IP yang dirilis guna mencegah login berbahaya ke server. sebisa mungkin. Jika Jika Anda juga menemukan server yang diminta untuk program penambangan oleh Alibaba Cloud, Anda dapat menemukan perusahaan keamanan server profesional untuk menanganinya Venustech. Kami juga berharap proses penyelesaian masalah kami dapat membantu lebih banyak orang.