立即采取措施遏制攻击并杀死挖矿程序,防止矿工占用CPU或影响其他应用程序。
您还应该强化服务器以更好地阻止入侵。
检查和清除挖矿程序
用于故障排除的思维导图
以下思维导图描述了如何识别挖掘程序及其入侵的根本原因。
图1故障排除思维导图
程序
- 登录管理控制台。
- 在页面左上角选择地域,单击,选择。
- 检查异常进程行为事件。 选择入侵>事件。在事件区域中,单击异常进程行为。单击事件操作列的 句柄。图2处理异常进程行为
- 检查计划任务。您的一些计划任务可能是由攻击者创建的,用于定期下载挖矿程序或运行挖矿脚本。
选择扫描>资产,然后单击自动启动。在下拉列表中,选择定时任务,检查并停止可疑任务。
图 3检查计划任务
- 检查自动启动项。您的一些自动启动项可能是由攻击者创建的,用于在服务器重新启动时启动挖掘程序。
选择扫描>资产,然后单击自动启动。筛选并检查Autostarted service、Preloaded dynamic library、Run registry key和Startup 文件夹项。
图 4检查自动启动项
- 检查并终止可疑进程。 图 5检查可疑进程
- 检查并禁用危险或未知端口。 图 6检查打开的端口
- 确认挖矿程序已被删除且无法恢复。如果它仍然存在,请重新安装您的服务器操作系统。
,选择
加固服务器
删除矿工程序后,加强服务器以更好地防御入侵。
Linux 服务器
- 让HSS在每天清晨自动扫描您的服务器和应用程序,帮助您检测和消除安全风险。有关详细信息,请参阅快速了解您的主机安全状态。
- 为所有帐户(包括系统帐户和应用程序帐户)设置更强的密码,或将登录方式更改为基于密钥的登录。
- 有关密码设置的详细信息,请参见如何设置安全密码?
- 密钥登录请参见使用私钥登录Linux弹性云服务器。
- 严格控制系统管理员账户的使用。只授予应用程序和中间件所需的最少权限,并严格控制它们的使用。
- 在安全组中配置访问规则。仅打开必要的端口。对于特殊端口(如远程登录端口),只允许来自指定IP地址的访问或使用VPN或堡垒主机建立自己的通信通道。有关详细信息,请参阅安全组规则。
Windows 服务器
使用HSS全面检查和消除安全风险。提高您的帐户、密码和授权安全性。
- 账户加固
措施
描述
程序
确保默认帐户安全。
- 禁用用户Guest。
- 禁用和删除不必要的帐户。(建议您禁用非活动帐户三个月后再删除它们。)
- 打开控制面板。
- 单击管理工具。打开计算机管理。
- 选择系统工具>本地用户和组>用户。
- 双击来宾。在Guest Properties窗口中,选择Account is disabled。
- 单击确定。
将仅具有必要权限的帐户分配给用户。
创建特定类型的用户和用户组。
示例:管理员、数据库用户、审计用户
- 打开控制面板。
- 单击管理工具。打开计算机管理。
- 选择系统工具>本地用户和组。根据需要创建用户和组。
定期检查并删除不必要的帐户。
定期删除或锁定不必要的帐户。
- 打开控制面板。
- 单击管理工具。打开计算机管理。
- 选择系统工具>本地用户和组。
- 选择用户或用户组并删除不必要的用户或用户组。
不显示最后一个用户名。
禁止登录页面显示最新登录的用户。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>安全选项。
- 双击交互式登录:不显示最后一个用户名。
- 在交互式登录:不显示最后一个用户名属性窗口中,单击启用,然后单击确定。
- 密码强化
环境
描述
程序
复杂
密码必须满足如何设置安全密码?
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择帐户策略>密码策略。
- 启用策略密码必须满足复杂性要求。
密码最长使用期限
在静态密码验证模式下,强制用户每 90 天或更短的时间间隔更改一次密码。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择帐户策略>密码策略。
- 将最长密码使用期限设置为 90 天或更短。
帐户锁定政策
静态密码认证模式下,如果用户连续10次认证失败,则锁定用户帐号。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择帐户策略>帐户锁定策略。
- 将帐户锁定阈值设置为10或更小。
- 授权加固
授权
描述
程序
远程关机
仅将权限从远程系统强制关闭分配给管理员组。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>用户权限分配。
- 仅将权限从远程系统强制关闭分配给管理员组。
本地关机
仅将关闭系统权限分配给管理员组。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>用户权限分配。
- 仅将关闭系统权限分配给管理员组。
用户权限分配
分配权限仅将文件或其他对象的所有权分配给Administrators组。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>用户权限分配。
- 仅将关闭系统权限分配给管理员组。
登录
授权用户本地登录计算机。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>用户权限分配。
- 将允许本地登录权限分配给您要授权的用户。
从网络访问
仅允许授权用户从网络访问此计算机(例如,通过网络共享)。
- 打开控制面板。
- 单击管理工具。打开本地安全策略。
- 选择本地策略>用户权限分配。
- 为您要授权的用户分配从网络访问此计算机的权限。
文章链接: https://www.mfisp.com/10337.html
文章标题:服务器遇到挖矿攻击该怎么解决?
文章版权:梦飞科技所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
