Alibaba Cloud ECS にマイニングトロイの木馬が埋め込まれた問題の解決プロセスを共有

Alibaba Cloud ECS サーバーは現在、多くの Web サイトの顧客によって使用されています。サーバーではさまざまなシステムを使用できます。 Windows2008、Windows2012、Linux システムはすべて Alibaba Cloud サーバーで使用できます。少し前に、当社の SINE Security は、Alibaba Cloud からテキスト メッセージのリマインダーを受け取ったというセキュリティ リクエストを顧客から受け取りました。そのリマインダーには、サーバー上でマイニング プロセスが実行されていることが通知され、セキュリティ アラートにすぐに対処するように求められました。お客様のウェブサイトが正常に開けず、サーバーのSSHリモート接続も入力できず、お客様に多大な影響を及ぼしました。

その後、当社のSINEセキュリティエンジニアがお客様のサーバーに対して包括的なセキュリティチェックを実施し、Alibaba Cloudの制御プラットフォームにログインしたところ、お客様のサーバーのCPUが100%に達していることを発見しました。サーバーの CPU 監視記録を確認したところ、通常は 20 ～ 35% の間で変動していることがわかりました。 TOP でプロセスを確認し、どのプロセスが CPU を占有しているかを追跡しました。常に CPU を占有しているプロセスがあることがわかりました。上記で発見された問題から、顧客のサーバーにマイニング プログラムが埋め込まれ、サーバーがハッキングされたため、Alibaba Cloud Security がマイニング プロセスが存在すると警告したことがわかります。

クライアントのサーバーがマイニング型トロイの木馬に感染していたことが判明しました。トッププロセスのスクリーンショットを見てみましょう。

占有されているプロセスの ID を検索したところ、ファイルは Linux システムの tmp ディレクトリにあることがわかりました。ファイルを強制的に削除し、コマンドを使用してプロセスを強制的に削除しました。 CPU は瞬時に 10% まで低下しました。これが採掘の根本的な原因です。では、ハッカーはどのようにしてサーバーを攻撃し、マイニングトロイの木馬プログラムを埋め込んだのでしょうか?弊社SINEセキュリティの長年のセキュリティ経験に基づき、クライアントのウェブサイトが改ざんされた可能性があると判断しました。私たちはすぐにクライアントのウェブサイト上で包括的なセキュリティ テストを開始しました。クライアントは、dedecms の Web サイト構築システムとオープン ソースの php+mysql データベース アーキテクチャを使用しました。すべてのコード、画像、データベースに対してセキュリティ テストを実施しました。予想通り、問題が見つかりました。 Webshel​​l トロイの木馬ファイルが Web サイトのルート ディレクトリにアップロードされました。顧客に相談したところ、以前にもAlibaba CloudからWebシェルバックドアの警告を受け取ったことがあるが、当時は気にしていなかったとのことでした。

今回、マイニング型トロイの木馬プログラムをサーバー内に埋め込んだ脆弱性の根本的な原因は、ウェブサイトの脆弱性でした。以前からコードに存在していたリモート コード実行の脆弱性や SQL インジェクションの脆弱性など、dedecms のコード脆弱性を手動で修復しました。包括的な脆弱性修復を実施し、Web サイトのフォルダー権限を安全に展開し、顧客のデフォルトの dede 背景を変更し、Web サイトの背景に二次的なパスワード保護を追加しました。

トロイの木馬のバックドアをクリアした後、サーバーのスケジュールされたタスクに攻撃者によって追加されたタスク プランが見つかりました。マイニング型トロイの木馬は、サーバーが再起動されるたびに、また 1 時間間隔で自動的に実行されました。スケジュールされたタスク プランを削除し、他のルート レベルの管理者ユーザーが Linux システム ユーザーに追加されているかどうかを確認しました。ルートレベルの管理者ユーザーは追加されていないことがわかりました。悪意のあるポートへの他の IP リンクがあるかどうかを含め、サーバーのリバース リンクがチェックされました。 Netstat -an を使用してすべてのポートのセキュリティ ステータスをチェックしたところ、リモート トロイの木馬バックドアが埋め込まれていないことが判明しました。お客様のポートセキュリティは安全に導入され、ポートの流入と流出を制限するために iptables が使用されました。

この時点で、クライアント サーバーでトロイの木馬をマイニングする問題は完全に解決されました。マイニング型トロイの木馬の防御と解決策についてまとめてみましょう。

今何時ですか：

ウェブサイトのプログラムコードに対して定期的にセキュリティチェックを実行してウェブシェルバ​​ックドアの有無を確認し、ウェブサイトのシステムバージョンを定期的にアップグレードして脆弱性を修正し、ウェブサイトのバックエンドログインで二次パスワード検証を実行してウェブサイトのSQLインジェクション脆弱性を防止します。これにより、管理者のアカウントパスワードが取得され、バックエンドにログインされるのを防ぐことができます。 Alibaba Cloud のポート セキュリティ ポリシーを使用してポート 80 とポート 443 を開き、残りの SSH ポートを IP 経由で解放します。サーバーにログインする必要がある場合は、Alibaba Cloud バックエンドにアクセスして、解放された IP を追加し、サーバーへの悪意のあるログインを可能な限り防止します。サーバー上で Alibaba Cloud によって促されるマイニング プログラムに遭遇した場合は、専門のサーバー セキュリティ会社に依頼して対処してもらえます。中国では、SINESAFE、NSFOCUS、Venustechなどのセキュリティ会社が比較的優れています。また、問題解決のプロセスがより多くの人々を助けることができることを願っています。