如果您為網站配置WAF防護後,來源站點伺服器ECS仍然被惡意攻擊者入侵,請參照下表查看可能原因和對應解決方案。
| 序號 | 可能原因 | 解決方案 |
|---|---|---|
| 1 | 接入WAF之前已被入侵,需要先把伺服器清理乾淨。 | 參照下文伺服器清理方案清理您的伺服器。 |
| 2 | WAF配置好後,沒有更改DNS解析,訪問流量實際上還是直接去向伺服器,沒有經過WAF防禦。 | 確保已經修改DNS解析,讓網站在WAF防禦之下。請參考CNAME接入指南。 |
| 3 | 使用WAF之前,ECS IP已經暴露,且未配置安全性群組,駭客直接攻擊ECS。 | 配置安全性群組,防止直接繞過WAF直接攻擊ECS。請參考來源站點保護。 |
| 4 | ECS伺服器上還有其他網站,且該網站未受到WAF防護,導致伺服器被“旁註”。 | 確保該ECS上所有HTTP業務都經過WAF防禦。 |
| 5 | 非Web攻擊方式入侵,比如暴力破解ECS SSH密碼等。 | 確保ECS、資料庫全部使用強密碼。 |
伺服器清理方案
说明 清理主機木馬、病毒前,請先建立快照進行備份,避免誤操作導致資料丟失無法還原。
排查病毒木馬
- 使用
netstat查看網路連接,分析是否有可疑發送行為,如有則停止伺服器。 - 使用殺毒軟體進行病毒查殺。
Linux中常用的木馬清理命令有:
chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
chattr -i /usr/bin/.swhd
rm -f /usr/bin/.swhd
rm -f -r /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9
排查並修複伺服器漏洞
- 查看伺服器帳號是否有異常。如有,則停止伺服器,並刪除異常帳號。
- 查看伺服器是否有異地登入情況。如有,則修改登入密碼為強密碼。強密碼由10位以上字元組成,同時包含大小寫字母、數字,和特殊符號。
- 檢查Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic等服務的後台密碼,確保啟用強密碼。對於不使用的服務,建議關閉其8080管理連接埠。
- 查看Web應用(如struts、Elasticsearch等)是否存在漏洞。確保網站在WAF防禦之下,建議結和使用Situation Awareness Service來查殺木馬、病毒,並安裝補丁。
- 查看是否存在Jenkins管理員無密碼遠程執行命令漏洞。如有,請設定密碼或關閉8080連接埠管理頁面。
- 查看是否有Redis無密碼可遠程寫入檔案漏洞。檢查
/root/下是否有駭客建立的SSH登入密鑰檔案,如有則將其刪除。修改Redis為有密碼訪問並使用強密碼。若不需要公網訪問,請使用bind 127.0.0.1綁定本地訪問。 - 查看MySQL、SQLServer、FTP、WEB管理後台等其它設定密碼的地方,確保啟用強密碼。
使用雲盾服務
- 確保該ECS上所有網站都已啟用WAF。
- 使用雲盾Situation Awareness Service,掃描主機風險和漏洞,查殺木馬並修複漏洞。
重設磁碟
假如在排查過病毒木馬及伺服器漏洞,並啟用雲盾服務後,問題仍然存在,建議您參照以下步驟,重設磁碟。
- 將系統硬碟和資料盤的資料完全下載備份到本地儲存。
- 登入Elastic Compute Service控制台。
- 單擊進行您需要進行初始化的執行個體,備份完伺服器資料。
- 關閉執行個體。
- 單擊重設磁碟,按您的實際情況選擇系統硬碟和資料盤進行重設。
- 重新部署程式應用,對資料進行殺毒後再上傳。
重設磁碟後,重新執行排查病毒木馬,排查並修複伺服器漏洞,使用雲盾服務。