勒索病毒入侵云服务器资源后会对数据进行加密勒索,导致业务突然中断、数据泄露和数据丢失,带来严重的业务风险。本文为您提供相应防护方案,帮助您防护云服务器资源,远离加密勒索病毒。

入侵原因分析

经调查分析,大多数情况下,云服务器资源被勒索病毒入侵,是由于使用云服务器资源时存在以下不安全因素:
  • 关键账号存在弱口令或无认证机制
    • 服务器关键账号的(root、Administrator)密码简单或无密码。
    • 数据库(Redis、MongoDB、MySQL、MS SQL Server)等重要业务使用的密码简单或无密码。
  • 无访问控制策略,业务暴露在互联网上

    RDP、SSH、Redis、MongoDB、MySQL、MS SQL Server等高危服务可以通过互联网直接访问。

  • 服务器的操作系统和软件存在高危漏洞

    服务器的操作系统和应用服务软件存在高危漏洞,恶意攻击者通过上传加密勒索病毒或执行勒索操作,实现远程攻击。

防勒索安全防护方案概述

为了降低您的云服务资源受到加密勒索病毒攻击的概率,建议您按照防勒索安全防护的不同阶段,参照以下安全防护方案进行部署或风险处理。
防护阶段 防护方案 描述 具体防护方案
事前阶段 进行安全配置检查
安全配置检查包括资产暴露分析、基线检查、云平台配置检查、AK泄露检测,主要目的如下:
  • 确保关键业务的账号安全,避免服务器、数据库账号使用弱口令或无口令。
  • 确保业务无未授权访问风险、误风险服务暴露在互联网上。

资产暴露分析

基线检查

云平台配置检查

AK泄漏检测

及时扫描服务器上存在的漏洞并对漏洞进行修复 云安全中心漏洞修复功能,可以检测出服务器上存在的风险漏洞,建议您及时对检查出的高风险漏洞进行修复。

漏洞周期检测配置

漏洞修复优先级

漏洞公网可以利用情况

为服务器和数据库创建勒索防护策略 云安全中心针对勒索病毒,提供了服务器防勒索和数据库防勒索两大功能,帮您解决服务器、数据库被勒索病毒入侵的后顾之忧。 防勒索备份
开启主动防御相关功能 云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。病毒拦截功能可对勒索病毒进行精准拦截,抑制勒索事件的发生。 主动防御
事中阶段 及时处理云安全中心检测出的全告警事件 云安全中心支持实时检测您资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过250+威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。 安全告警处理
事后阶段 对被勒索病毒入侵的资产数据进行备份恢复 云安全中心的服务器防勒索功能和数据库防勒索功能可为您的服务器或者数据库创建勒索病毒防护策略,备份您的服务器或数据库的数据。当您的服务器或数据库被勒索病毒入侵后,您可以通过创建数据恢复任务来恢复被勒索病毒入侵的数据。 防勒索备份
对勒索病毒进行攻击溯源 云安全中心的攻击溯源功能,基于客户端全面数据采集结合云端图计算引擎,可以智能还原出攻击路径,帮助您详细了解勒索病毒入侵的过程和链路。 攻击溯源

防勒索安全防护方案的详细说明和涉及的相关操作见下文。

资产暴露分析

通过资产暴露分析功能,您可以收敛公网暴露面,降低被攻击者或勒索病毒软件从公网入侵的风险,对于已经存在的公网暴露风险应列为最高优先级进行处理。具体操作,请参见资产暴露分析
  • 暴露组件分析

    您可以通过查看资产暴露分析功能中的暴露组件,检查是否存在组件或服务(如Redis、MongoDB、Elasticsearch等)未预期地暴露到公网。若发现此类暴露组件,可将对应组件的公网暴露链路切段,如增加对应的安全组配置仅允许特定IP段访问。

  • 弱口令暴露分析

    弱口令暴露在公网上极易导致系统被入侵,对于暴露在公网的弱口令风险需要紧急修复。

基线检查

基线检查支持弱口令、未授权访问、历史漏洞和配置红线的立体巡检,这些基线已经包含在默认检查策略中,完成系统、数据库和中间件的安全效果基线的修复加固能有效预防针对相关服务的勒索风险。具体操作,请参见基线检查概述

云平台配置检查

云安全中心的云平台配置检查功能从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检查,帮助您及时发现您的云产品配置风险并提供相应的修复方案。强烈建议您修复云平台配置检查中的高风险检查项。具体操作,请参见云平台配置检查概述

AK泄漏检测

云安全中心的AK泄漏检测功能,可以实时检测GitHub等平台公开源代码中的用户登录名和密码信息,识别出您资产的用户名和密码是否有泄露,并提供相应的告警,帮助您及时发现并处理可能外泄的AK信息。具体操作,请参见AK泄露检测

漏洞周期检测配置

建议您开启应用漏洞检测功能,并配置周期检测,检测周期配置为最短周期(当前最短周期为每隔3天)。另外请确认漏洞白名单中的漏洞均为确实需要加白的漏洞。具体操作,请参见漏洞管理设置

漏洞修复优先级

应用漏洞检测分为合规视角和真实风险视角,真实风险视角下展示的漏洞均为漏洞细节已公开,且PoC、EXP均可在互联网上方便获得的漏洞。这些漏洞均可以被攻击者或勒索病毒有效利用。因此真实风险模式下展示的漏洞均需高优先级修复,修复的先后顺序可参考紧急程度从高到低进行修复。无公网暴露服务相关的漏洞也需进行修复,避免被攻击者或勒索病毒利用实现内网横向移动,进一步扩大影响面。具体操作,请参见漏洞修复优先级

漏洞公网可以利用情况

当漏洞数量过多,且没有足够资源完成漏洞修复工作时,可以优先完成互联网边界服务相关漏洞的修复和处置。保证边界服务的安全性,为后续内部其余漏洞的修复赢得更多时间。修复和处置方式如下:
  • 漏洞修复

    按照漏洞详情中的修复建议完成漏洞修复。

  • 临时处置

    点击安全组ID或网元实例ID,跳转到对应安全组或对应SLB、NAT配置界面,去掉将服务暴露到公网的端口转发配置,或配置安全组仅允许特定IP或IP段访问该服务(临时处置不等于漏洞修复,后续仍需修复该漏洞)。

    关于漏洞修复的具体操作,请参见漏洞修复概述

安全告警处理

云安全中心支持实时检测您资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过250+威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

您可以按照以下步骤处理勒索病毒相关的告警事件:

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择威胁检测 > 安全告警处理
  3. 安全告警处理处理页面的告警事件列表中,定位到勒索病毒相关的告警事件,单击操作列的处理
  4. 在当前告警事件处理的对话框中,设置处理方式病毒查杀并选中隔离该进程的源文件
  5. 单击下方立即处理
    隔离进程源文件,可防止该程序再次启动。
  6. 登录该告警事件中受影响的服务器,确认crontab中是否存在异常的计划任务。
    如果存在异常的计划任务,需要删除或注释掉异常的计划任务。删除或注释异常任务

主动防御

云安全中心的主动防御能力为您自动拦截常见病毒、恶意网络连接和网站后门连接,并设置诱饵捕获勒索病毒。病毒拦截功能可对勒索病毒进行精准拦截,在事前抑制勒索事件的发生。如何开启病毒拦截功能,请参见主动防御

另外,勒索病毒可能会破坏云安全中心客户端,因此建议开启客户端自保护功能。开启客户端自保护的具体操作,请参见客户端自保护

防勒索备份

云安全中心针对勒索病毒,提供了服务器防勒索和数据库防勒索两大功能,帮您解决服务器、数据库被勒索病毒入侵的后顾之忧。
  • 服务器防勒索

    无论您的服务器是阿里云服务器或非阿里云服务器、服务器使用的是专有网络或者经典网络,您都可以使用云安全中心的服务器防勒索功能为您的服务器创建勒索病毒防护策略。为您的服务器创建防护策略后,云安全中心会自动备份您服务器防护目录下的数据。如果您的服务器数据被勒索病毒入侵,您可以随时恢复已备份的数据,避免勒索病毒对您的业务产生影响。具体操作,请参见创建防护策略创建恢复任务

  • 数据库防勒索

    您可以为安装在阿里云ECS服务器上的MySQL数据库、Oracle数据、SQL Server数据库这三种数据库创建勒索病毒防护策略,备份您数据库的数据。如果您的数据库数据被勒索病毒入侵,您可以随时恢复已备份的数据,避免勒索病毒对您的业务产生影响。具体操作,请参见创建防护策略创建恢复任务

相关配置建议
  • 备份数据会占用您的网络带宽,建议您将备份数据的开始时间设置到业务低峰时段。您可以通过修改防护策略的数据备份开始时间设置合理的数据备份时间(建议在业务低峰期开始、并避开整点)。因初次全量备份或增量备份文件较多,备份活动有可能持续数个小时。
  • 建议规划好您服务器上的目录,在创建勒索防护策略时只备份有价值的数据目录,将无价值的数据排除在备份目录之外。设置为备份指定目录,不仅有利于节省防勒索备份容量,还可以降低对服务器性能的占用。
  • 建议定期检查防勒索备份容量,确保容量充足、避免超量使用。需要注意的是,备份容量超量后若不扩容或手动清理备份数据释放防勒索容量,勒索防护策略会停止备份,并且超过备份数据保留时间后会自动清理可恢复数据版本,导致备份防护失效。
  • 若挂载了NAS、OSS到ECS的目录上,则NAS、OSS存储的数据也会被备份。建议排除挂载目录进行备份,或指定挂载目录中的必要数据进行备份。
  • 碎片文件过多,可能会导致磁盘缓存、日志空间、和内存占用较高,建议您定期清理磁盘空间。清理磁盘空间的具体操作,请参见清理防勒索备份占用的服务器的磁盘空间

攻击溯源

云安全中心的攻击溯源功能,基于客户端全面数据采集结合云端图计算引擎,可以智能还原出攻击路径,帮助您详细了解勒索病毒入侵的过程和链路。具体操作,请参见攻击溯源