免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
概述
本文主要介绍在使用云安全中心后,如果您的网站被黑客入侵,如何进行安全排查的方法。
详细信息
阿里云提醒您:
- 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
- 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
- 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。
您可以参考下列步骤进行排查。
步骤一:排查木马
下面分别介绍Windows操作系统和Linux操作系统感染木马程序时的常见现象。如果您的ECS实例也存在类似的情况,基本可以确定您的服务器已被黑客入侵,并被植入木马。
Windows操作系统
请检查Windows实例是否存在下列类似的异常情况:
- Windows系统的任务管理器中存在异常进程。此类进程的进程名一般有下列几种特征:
说明:如下仅为常见的示例,现场需要以实际情况为准。
- 不符合英语语法习惯,例如,进程名为“eeosec.exe”。
- 全部为数字,例如,进程名为“117466363.exe”。
- 具有一定意义上的随机性,例如,进程名为“lkdhpec.exe”。
- 有明显的中文特征,例如,进程名为“muma.exe”。
- Windows实例的CPU使用率呈现为一条很平稳的直线,并且CPU使用率维持在较高的水平。
Linux操作系统
请检查Linux实例是否存在下列类似的异常情况:
- Linux实例的
/usr/bin/dpkgd
目录中存在下列文件中的一个或多个:- ps
- ss
- lsof
- netstat
- Linux实例的CPU使用率一直维持在较高的水平,几乎没有变化。
步骤二:排查网站后门
近期是否收到阿里云官方给您发送的有关服务器存在网站后门的短信或者邮件。如果有收到,则表明您的服务器已经被黑客入侵,并上传了后门程序,黑客可以操作您的网站或数据库数据。您可以通过云安全中心中的文件隔离箱对后门文件进行隔离。但具体的入侵原因还需要进一步排查,否则黑客还是会通过漏洞重复入侵。
步骤三:检查网站是否被屏蔽或存在非法页面
如果云安全中心告警提示您的网站存在如下情况,请先自查网站代码,找出异常页面的文件位置并查看页面代码。确认这些代码是否由自己的团队所生产。如果不是由您的团队所生产,则基本可以确定服务器被黑客入侵,并被植入非法页面或恶意代码。对此类入侵问题,一般是由于您网站的业务系统、代码逻辑或数据库漏洞等非服务器安全问题所导致,您可以先手动清除这些恶意代码。
说明:通过快照回滚云盘、重置ECS实例并不能从根本上解决此类问题,后续还会存在重复入侵的风险。
- 网站存在非法页面(黄、赌、毒), 且页面被屏蔽。
- 网站存在异常、未授权的弹窗界面。
步骤四:检查登录服务器的源IP
如果云安全中心告警提示您的服务器存在异地登录、黑客登录等异常情况时,建议您先查看登录源IP是否正常。如果登录源IP属于如下几种情况,则属于正常情况。如果并非下列情况,则建议您立即修改服务器密码(使用10位以上,包含大小写字母和特殊字符的强密码)。同时,继续观察云安全中心是否仍然会提示异地登录、黑客登录等异常情况。
- 团队内部成员所在地区的出口IP地址。
- 团队内部成员在外临时使用的IP地址。
- 团队内部成员使用的临时VPN。
- 团队内部成员通过某些VPS登录服务器。
如果您遭遇的入侵不在上述范围,建议您提交工单,详细描述具体的情况,并附上相关截图,阿里云的售后工程师将为您处理。
相关文档
适用于
- 云安全中心