记一次GPU服务器挖矿事件应急响应
💡
原文中文,约7300字,阅读约需18分钟。
📝
内容提要
2024年12月26日,我司收到网络安全通报,发现服务器被黑客入侵并进行挖矿。入侵发生在2024年9月19日,黑客利用弱口令和内网横向移动。经过清除恶意进程和后门,系统已恢复正常。建议加强安全基础设施建设。
🎯
关键要点
- 2024年12月26日,我司收到网络安全通报,发现服务器被黑客入侵并进行挖矿。
- 入侵发生在2024年9月19日,黑客利用弱口令和内网横向移动。
- 同一内网的10台GPU服务器受到影响,版本均为ubuntu 20.04。
- 通过排查发现异常IP为德国IP,进行全面的进程分析和恶意文件查找。
- 发现多个恶意进程和后门文件,采取措施清除恶意进程和后门。
- 恢复系统命令并替换被篡改的系统文件,确保服务器恢复正常。
- 入侵分析显示可能的入侵路径为内网横向移动和弱口令爆破。
- 建议加强安全基础设施建设,优先投入资源到日志平台、防火墙和入侵检测系统等基础设施中。
- 使用免费杀毒软件能力有限,建议企业在安全建设中保持警惕,进行充分的安全评估。
❓
延伸问答
这次GPU服务器挖矿事件是如何被发现的?
事件于2024年12月26日被发现,因收到网络安全通报,指出服务器存在挖矿行为。
黑客是如何入侵服务器的?
黑客利用弱口令和内网横向移动的方式入侵服务器,入侵时间为2024年9月19日。
在应急响应中采取了哪些措施?
采取了清除恶意进程和后门、恢复系统命令、替换被篡改的系统文件等措施。
此次事件对服务器的影响范围有多大?
同一内网的10台GPU服务器受到影响,均为ubuntu 20.04版本。
事件中发现了哪些恶意文件和进程?
发现了多个恶意进程和后门文件,包括名为/9ac8a281的恶意进程。
针对未来的安全建议是什么?
建议加强安全基础设施建设,优先投入资源到日志平台、防火墙和入侵检测系统等。
➡️
