Linux,没你想象的那么安全! 推荐 原创 南非蚂蚁 2018-10-12 14:28:57 博主文章分类:Linux运维 ©著作权 文章标签 linux安全 文章分类 运维 ©著作权归作者所有:来自51CTO博客作者南非蚂蚁的原创作品,请联系作者获取转载授权,否则将追究法律责任 上周,一个朋友要帮忙处理一下他在阿里云的Linux服务器,因为他说自己服务器上的文件都不见了,我登录上去查看后,发现了BananaCrypt勒索病毒,该勒索病毒加密文件后,会将文件后缀修改为“.bananaCrypt”。根据提示,受害者需要缴纳价值300美元的比特币才能解密文件。下图是骇客留下的勒索凭证: 网络中的Hacker就像现实生活中的小偷、强盗一样,多数作案基本都是随机的。可以说,在网络世界里,每个人、每个企业都面临着信息安全、资金安全的威胁。 下图是Norse Corporation最新发布的实时网络Hacker地图,向我们展示了全球实时发生的网络Hacker,看起来很好玩,深思很恐怖。这里看到的大多数公鸡都是机器人进行的,目的在于探测网络系统的软肋。右下角的方块显示了当前网络正遭受哪种类型的公鸡。 怎么样,很震撼吧! 根据网络数据统计,网络上各类应用脆弱排行榜如下: Web 应用 Web 框架 端口 Web 容器 服务 为了避免骇客公鸡可能遭受的损失,防患于未然最关键,这里给大家总结了骇客的几种公鸡手段,知己知彼方能有备无患。 1、勒索病毒 勒索病毒就是利用恶意代码加密用户文件、收费解密的形式,向受害者索取金额的勒索软件,如果7天内不支付,病毒声称电脑中的数据信息将会永远无法恢复。 目前常见的勒索病毒及变种有很多,简单介绍如下: Saturn勒索病毒 Saturn勒索病毒通过钓鱼邮件等方式传播,加密文件后以“ .saturn ”作为后缀。Saturn勒索病毒是暗网上公开提供的勒索病毒服务之一,服务提供商会从每次勒索赎金中抽取30%作为收益,勒索的赎金可由服务使用者自定义。 BananaCrypt勒索病毒 该勒索病毒加密文件后,会将文件后缀修改为“.bananaCrypt”。根据提示,受害者需要缴纳价值300美元的比特币才能解密文件。 Shifr勒索病毒变种CryptWalker Shifr勒索病毒变种Cypher,该勒索病毒加密文件后,会将文件后缀修改为“. cypher”。根据提示,会向用户勒索1个比特币。 Data Keeper勒索病毒 该勒索病毒加密文件后并不会修改文件后缀,只有当用户主动打开文档时才会发现文档被加密了,这使得用户不知道自己电脑上究竟多少文档已经被加密,更加容易恐慌。根据分析,Data Keeper和Saturn勒索病毒一样,同为投放在暗网上的勒索病毒服务,勒索的赎金也可以由服务使用者自定义。 GlobeImposter勒索病毒 主要用来感染企业应用服务器,之前国内两家省级医院服务器疑似遭最新勒索病毒GlobeImposter的公鸡,骇客在突破企业防护边界后释放并运行勒索病毒,最终导致系统破坏,影响正常工作秩序。不法骇客要求院方在指定时间内支付价值几万到数十万人民币不等的比特币才可恢复数据。此病毒目的性很强,就是勒索钱财。 你没吃过亏,可能永远不明白数据有多珍贵。我们之前也经历过被臭名昭著的勒索病毒威胁的事情,文件被感染后,公鸡者给每个目录下都留下一封html的勒索信,告诉你要汇1个比特币到指定账户。现在1个比特币超过10万人民币了。 不过,幸运的是,我们这个服务器的数据都有备份,备份的数据在另外一个异地主机上,因此,损失不是很大,大部分数据得以恢复,仅丢失了很小部分数据。 所以,应对勒索病毒的最有效招数就是:备份,再备份。将数据经常做异地备份,但千万不要备份到本机,这毫无意义,同时,要养成备份习惯,比如一天增量备份、一周的全备份等策略。 2、挖矿病毒 比特币等虚拟货币的不断升值,挖矿这个词变得家喻户晓。除了不断涨价的显卡外,又有骇客动起了歪脑筋,设计出了挖矿病毒。挖矿病毒就是用你的服务器计算资源(CPU 、GPU)替他挖矿赚钱的牧马。主要表现为你的计算资源利用率很高,但网络流量一般。 目前常见的挖矿病毒有xmrig挖矿病毒、门罗币挖矿病毒、驱动挖矿病毒PuMiner等,相比之前的勒索病毒,挖矿病毒更加隐秘,你甚至不会察觉到你的服务器已经被公鸡,但是只要掌握了挖矿病毒的发作特征以及时刻关注服务器状态,就不难发现它。 那么挖矿病毒是怎么感染的呢,目前比较常见的有漏洞感染,例如前段时间闹得比较凶的Redis未授权访问漏洞,就是挖矿病毒的一种新型公鸡方式,在特定条件下,如果Redis以root身份运行,骇客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,继而导致服务器权限被获取和数据删除、泄露或加密勒索事件发生,严重危害业务正常服务。 由于部分服务器上的Redis绑定模式为“0.0.0.0:6379”,并且没有开启认证(这是Redis的默认配置,就是登录redis无需密码),以及该端口可以通过公网直接访问,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源IP访问等,将会导致Redis服务直接暴露在公网上,这就造成了其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。 目前比较主流的案例:yam2 minerd挖矿程序,还有在多次应急事件中发现大量的watch-smartd挖矿牧马,都是通过此种方式进来的。 他们是如何公鸡的呢?看下面这个图: 基本的步骤是: (1)利用扫描工具,弱口令扫描redis 默认的 6397端口 (2)本地生成 rsa ,储存到对方redis 缓存中 (3)利用redis config set 来写入一个文件 (4)最后 ssh 登录 如何做redis的安全防范呢,方法如下: (1)以低权限运行 Redis 服务 (2)为 Redis 添加密码验证 (3)禁止外网访问 Redis (4)修改默认端口 (5)保证 authorized_keys 文件的安全 (6)设置防火墙策略 3、十字符病毒 服务器不停的向外发包,网络流量暴满,且CPU持续100%。远程登录后查看发现有一长度为10的随机字符串进程,kill掉,会重新生成另外长度为10的字符串进程。删除文件也会重复生成,这就是十字符病毒的典型特征。 这种病毒的运作机制基本是这样的: 首先植入一个病原体,然后通过cron每隔一段时间自动检测一次,如果牧马程序不存在,就从病原体复制一份儿到指定路径并重新命名,生成一个随机命名(10个字符的程序名)的程序,然后放到系统默认的路径/usr/bin/、/usr/sbin、/sbin等目录下,同时修改系统自启动配置让这些病毒程序开机自启动。 网络流量暴满、持续耗用CPU资源,病毒程序自动启动、无法杀掉,删除文件后,这些病毒文件自动生成,这就是十字符病毒的典型特征。 那么,此种病毒是如何进入的呢,一般这种类型的病毒进入方式是系统漏洞、程序漏洞等途径进入,而进入系统后,他并不破坏系统内的数据,这看似很友好,其实,他最主要的目的是占用你的网络带宽,继而形成僵尸网络,僵尸网络是一批被控制的主机,通过控制互联网上大量的主机带宽,僵尸网络就变得非常强大,一旦发起公鸡,往往会形成势不可挡的大规模网络故障,近期的断网事件和僵尸网络挖矿事件都是利用僵尸网络造成的。 如何清除这种类型的病毒,可参考我之前的博文:ixdba/2163018 4、黑帽seo挂马网站 你可能遇到过这样的情况:本来打开的是这个网站,却突然跳转到了dubo网站,或者打开一个网站后,发现网站标题和内容不一样,明明打开的是一个技术网站,打开网页后,发现是一个dubo网站,还有一些就是网站的第一屏内容被替换成dubo网站,最下面是原本网站的内容,类似很多,如下图所示: 这其实就是典型的黑帽SEO(Search Engine Optimization:翻译为搜索引擎优化)zuobi手段,黑帽SEO就是作弊的意思,它通过垃圾链接,偷换页面,网页劫持,关键词堆砌、页面跳转、、挂黑链、网站镜像等技术,来获取搜索引擎的排名,继而从搜索引擎中获得更多的免费流量。 黑帽SEO主要的特点就是短、平、快,为了短期内的利益而采用作弊方法。同时随时因为搜索引擎算法的改变而面临惩罚。而黑帽SEO的目的是为网站提供生态式的自我营销解决方案,让其在行业内占据领先地位,获得品牌收益。 为了达到这个目的,黑帽SEO们挖空了心思,各种招数不尽其用,其中最常用的就是页面跳转,关键字替换,看下面一个案例: 这段js代码是从服务器上取下来的,很明显,他是将所有从搜索引擎过来的流量都跳转到了代码里面指定的一个站点上了,这样无形中,将搜索引擎流量转给了其他非法网站。 那么这个js是怎么注入的呢,这就是利用了网站的程序的漏洞,将js传上去了。 此外,还有其他类似的注入手段,主要有几个步骤: 第一步,从快照内容中获取关键词并替换成自己的关键词,第二步,构造语句函数代码,第三步,采集内容提供给搜索蜘蛛,第四步,设置需要跳转到的网址。通过这四个步骤,不但获取了流量,也提示了自己网站的关键词,最终,提示了自己网站权重,达到了宣传、推广的目的。 此种注入方式,一般攻陷的是一些技术类网站、专业类网站,甚至政府网站,因为这些网站在网络上的信誉评分很高,并且搜索引擎在搜索时也会向前推荐,所以这些网站就成了他们注入的目标。 说了这么多,要如何防范这些黑帽SEO呢,总结主要有如下几个方面: 1、网站的程序安全漏洞、安全要加固,保证没有程序漏洞,这是最重要的部分。 2、对服务器目录权限的安全部署,对管理员账号密码加密,尽可能设置的复杂一些。 3、数据库不要对外网公开,修改默认端口,推荐仅本地127.0.0.1才能进行连接数据库。 4、对服务器底层系统进行安全加固,包括远程端口登录的安全验证。防火墙一定要设置。 5、定期对网站代码进行整体的安全检测,包括定期的升级网站程序源代码,修复补丁以及网站漏洞。 安全是相对的,要保证系统安全,安全是目的,防范是手段,通过防范的手段达到或实现安全的目的,是作为运维人员安全防范的基本准则。 技术彩蛋 ~~~~~~~~~~~~~~~~~~~~~~~~~~~ 说了这么多,那么问题来了,怎么样保证系统安全、稳定呢,我将多年来工作经验进行了总结和提炼,写成了专栏《Linux运维大牛实战心法》 点击前往,15个案例打通运维任通二脉,让案例说话: 能学到什么技能 第一部分:故障排查 1.Linux系统故障问题案例汇总(无法启动、忘记密码、丢失文件等) 2.偶遇"Too many open files"错误分析与处理实录 3.Linux遭遇"Read-only file system"错误分析与处理实录 4.不听话的Crontab,记一次Crontab计划任务失败案例 5.因OpenStack物理机故障引起的Linux系统无法启动案例 6.Linux系统内存又被吃光了,它去哪里了,记一次内存占用问题调查记 第二部分:系统安全 7.回顾与总结:服务器遭受攻 击后的处理措施 8.IDC服务器遭遇黑 客侵入后的解决方法与原因分析案例 9.Linux后门入 侵检测工具chkrootkit、RKHunter应用案例 10.云服务器被植入挖矿病毒的处理与原因分析案例 第三部分:性能调优 11.菜鸟运维初成长,记一次上线Linux服务器基础优化案例 12.对某电商平台动、静态网站的优化分析案例 第四部分:运维案例 13.远离MySQL的MyISAM,记一次MySQL数据库故障的处理与原因分析 14.一次Java应用OutOfMemoryError故障的处理与原因分析 15.一次Java进程占用CPU过高问题的排查方法与案例分析 ~~~~~~~~~~~~~~~~~~~~~~~~~~~ 如果你对大数据方向的技术干兴趣,那么也可以阅读我的ELK专栏,我将多年来在新浪网和阿里云担任系统架构师的经验,融合进51CTO订阅专栏《轻松玩转ELK海量可视化日志分析系统》点击前往 ps:【51CTO订阅专栏】安卓小程序端,订阅更优惠¥12 能学到什么技能 1、结合企业真实项目需求,分析ELK架构的应用场景和价值 2、动手实战构建ELK 海量日志分析平台 3、利用Logstash实时采集不同项目系统的海量信息,对海量数据进行过滤和解析,同时可以自定义匹配模式解析项目中的复杂结构日志,并按日志类别和日期回滚输出到ElasticSearch集群建立索引 4、利用Kibana 实现海量日志的分析查询、数据可视化及监控预警 。 5、Logstash核心配置语法以及Filebeat组件的灵活使用 6、Logstash Input插件、Filter插件、Output插件应用详解 7、实战:Logstash 实现海量日志采集、过滤、解析、输出 赞 收藏 评论 分享 举报 上一篇:别跟我说这很容易 下一篇:无监控,不运维 提问和评论都可以,用心的回复会被更多人看到 评论 发布评论 全部评论 () 最热 最新 相关文章 改善你的Linux安全 一、控制台安全你可以通过限制能够登录的一组特定终端来限制root用户的访问。为了实现该目的,请编辑/etc/下安全文件的内容。该文件列出的是允许root用户登录的所有设备。我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。二、密码生命周期密码的生命周期就是允许你为密码指定一个有效的时间周 root用户 编译器 二进制文件 中转的Openai API KEY 为什么那么便宜? 你是不是遇到过向你推销Openai API KEY的,看着价格很心动,有的价格做到1元以下/刀。还能支持GPT-4,按理说都是连接openai的,区别怎么这么大呢?1、用的是大量的免费账号送的5刀做了key池用来轮询每个注册的账号,openai都几乎送有5美金的额度体验,一部分人利用软件的方式,批量的注册,套取API KEY2、通过最低充值 5美金得到10美金的GPT-4 KEY初始送的5美金额度 API Azure ChatGPT 人工智能 Gemini Linux安全策略—SELinux 一、概述SELinux,全称为Security Enhanced Linux,是一种为Linux内核提供访问控制安全策略的机制。它通过强制访问控制,增强了操作系统的安全性,防止恶意软件和攻击者对系统资源的非法访问。二、SELinux的原理SELinux基于域-类型强制访问控制模型,将系统资源划分为不同的安全上下文,并定义了主体和客体之间的访问规则。通过强制执行这些规则,SELinux能够限制进程对 应用程序 系统资源 系统管理员 selinux 安全策略 成长,没你想象的那么急迫 离出发不远的地方。 成长,真有你想象的那样迫切?——转自雅虎《另一种活法》 一、别急,千万别急 上周在南京出差,深夜拖着疲惫 去跟朋友见面,畅谈至凌晨两点。 生活 工作 出版 医疗 游戏 线程池,远没你想象的那么简单 前言原以为线程池还挺简单的(平时常用,也分析过原理),这次是想自己动手写一个线程池来更加深入的了解它;但在动手写的过程中落地到细节时发现并没想的那么容易。结合源码对比后确实不得不佩服 DougLea 。我觉得大部分人直接去看 java.util.concurrent.ThreadPoolExecutor 的源码时都是看一个大概,因为其中涉及到了许多细节处理,还有部分 AQS 的内容,所以想 Java Javascript cookie代码 也许没你想象的那么难~ <!DOCTYPE html><html><head><meta charset="utf-8"><title>cookie的读取和使用</title></head><head><script>function setCoo html i++ 深入掌握Linux操作系统,其实也没你想象那么难 曹政大家应该都不陌生吧,众多IT人的偶像,数据、技术、业务,无一不精,被大家称为曹大。在曹大的一篇文章中,他曾经提到过,1998年,自己的第一份工作接手的是一个Windows系统下的人才网... 内核 编程语言 java 人工智能 大数据 你的数据是否有你想象中的那么安全? 你的数据是否有你想象中的那么安全?你的数据是否有你想象中的那么安全?许多人对于自己的数据和网络目前有一种虚假的安全感:在系统安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗? 1. 防火墙会让系统固若金汤 职场 休闲 山石发声 | 做好安全运营,没有你想象的那么难 来这里,寻网络安全之道 网络安全 信息技术 安全运营 我没你想的那么坚强 记得曾经单曲循环这首歌,听到泪流不止。终于,下了决心,报了个wolf的NP的班。其实,一切都没有想象的那么艰难。去了,交了钱,开始上课了。累每天下班,坐一个小时的地铁去上课,被老师机关枪般的讲课速度狂轰滥炸两个半小时后,再打车回来,吃饭,看书,睡觉。没有什么特殊的感觉,只剩下累了。这周开始工作也忙了,于是每天像一台超负荷的机器,看着压力指标就在阀值附近忽上忽下,似乎随时会崩溃,神经时刻是紧绷的。感 帧中继 单曲循环 机关枪 银行卡支付的背后原理其实没你想象的那么难! 以下文章来源于程序通事 ,作者楼下小黑哥上次写了一篇轻轻一扫,立刻扣款,付款码背后的原理你不想知道吗,本以为这类文章没什么会看,没想到发布之后,阅读量数据还不错。那么今天小黑哥再来跟大家聊聊支付。虽然现在我们主流的支付方式是使用支付宝/微信支付,但是当我们余额不足,或者选择从银行卡扣款时,将就会使用到银行卡支付。所以今天我们就来来讲讲银行卡支付的相关原理,科普一下银行卡支付整个流程。银行卡支付可以 银行卡支付 K8s Pod优雅关闭,没你想象的那么简单! 更新部署服务时,旧的 Pod 会终止,新 Pod 上位。如果在这个部署过程中老 Pod 有一个很长的操作, 子进程 java jar 最佳实践 自定义 写作其实没有你想象的那么难 从2009年正式开始写作以来,写作越来越多。文学作品、技术文章、思想感悟等都越来越多,质量也在不断提高。 最近,有强烈的写作欲望,所以一不小心就写了好多篇。 五月以来,也开始写作毕设了,今天又写了一点。逐渐的形成了一个结论。 &nbs 读书 思考 写作 主题 结构 非对称加密RSA和对称加密AES,没你想象的那么神秘 RSARSA算法属于非对称加密算法,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。简单的说是“公钥加密,私钥解密;私钥加密,公钥解密 服务端 客户端 数据 男人没有你想象中的那么坚强 当你爱上一个男子,千万别去想自己是不是应该矜持一点。爱他就要告诉他,有时候男人也很爱虚荣,你的表白会让他的自信达到顶点。男人都很懒很笨,尽管他爱你,但是不想费劲心思讨好你,你所能做的就是在适当的时候给他个明示。男人有时候需要女人给他强有力的当头一棒。男人不管他外表有多强大,但是骨子里都还是一个孩子。他在人性的时候不要对他大喉大叫,这对他不起作用。最有效的办法是陪他 职场 情感 男人 休闲 成功并不像你想象的那么难 成功并不像你想象的那么难 并不是因为事情难我们不敢做,而是因为我们不敢做事情才难的。 1965年,一位韩国学生到剑桥大学主修心理学。在喝下午茶的时候,他常到学校的咖啡厅或茶座听一些成功人士聊天。这些成功人士包括诺贝尔奖获得者,某一些领域的学术权威和一些创造了经济神话的人,这些人幽默风趣,举重若轻,把自己的成功都看得非常自然和顺理成章。时间长了 职场 成功 情感 休闲 线程池没你想的那么简单(续) 线程池揭秘 线程池 异常处理 java 今年当老板,没你想的那么简单! 点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文The most sad is, know you not, but y... 企业 快速排序真的没你想的那么难 前言:作为一名程序猿,大家应该或多或少都听过快速排序的大名,可能很多小伙伴最初接触到快排的时候是在数据结构的课上。当时课上可能恍恍惚惚的听懂了,但是后面又没下来继续钻研,就又把这个知识点还回去了,其实快排真的没有想象中的那么难,本文将先从思路较为简单的递归入手,然后再利用非递归的方式实现快速排序。好了,进入今天的主题吧。文章向导一、快速排序的原理二、使用递归实现快排算法三、非递归方式实现(拓展)*四、时间复杂度分析一、快速排序的原理分区分区是快排中一个非常重要的环节,快排将从数组中间位置作为分 数据结构 算法 快速排序 数组 Web登录其实没你想的那么简单 作者:letcafe 1. 一个简单的HTML例子看看用户信息安全标准的HTML语法中,支持在form表单中使用<input></input>标签来创建一个HTTP提交的属性,现代的WEB登录中,常见的是下面这样的表单:<form action = "http://localhost:8080/Application/login" method = "P web