服务器挖矿防御计划

简介

最近挖了很多小伙伴服务器。简要总结应急过程中经常遇到的一些采矿特点，以及保护方法。稍后将详细介绍这些工具。介绍分享。

问题

要防止挖矿，首先要了解挖矿的本质。挖矿的本质是快速产出，利用可用资源实现快速产出并获得收益。您需要了解这一点的原因是因为大多数采矿人员不会花时间在您的一台服务器上。大多数方法是通过网络空间搜索引擎或端口扫描工具批量扫描整个网段。根据扫描结果，筛选出能够快速自动获取权限的机器，然后自动执行脚本处理。比如我直接通过fofa搜索redis，可以得到打开redis的服务器列表，可以直接登录。那我肯定会直接导出列表，获取这些ip的权限。

共同特点

主要问题是未经授权的漏洞。常见的未授权漏洞如下：

Hadoop 未授权 - 50070Mongodb 未授权 - 27017Redis 未授权 -6379Elasticsearch 未授权 -9200Memcached 未授权 -11211Zookeeper 未授权 -2181/2888/3888JBOSS 未授权 -8080Docker 未授权 -2375Rsync 未授权授权授权 - 873

Gitlab、Jenkins、NFS、Samba等有部分版本或因配置不当存在未授权访问漏洞

除了未经授权的漏洞外，被挖掘最多的是弱密码挖矿使用ssl，包括：

服务器系统用户弱密码web弱密码中间件web管理端口弱密码应用弱密码

比如常用的phpMyAdmin弱密码，一些测试服务器web测试账号弱密码等，除了以上两种，还有一些利用条件不高的高危系统或组件漏洞，也需要需要注意

提前自查

对于此类问题，最好的防护方法是自己扫描检测，直接在fofa、shodan、zoomeye、censys等网络搜索引擎中输入自己的服务器IP地址，就可以看到有哪些服务和端口被服务器暴露，从而确认自己服务器的安全问题。那里

当然你也可以通过nmap、zenmap、unicornscan、nast、msscan等端口扫描工具检查你服务器的外部端口，确认服务器的安全状态，授权访问的添加授权，添加白名单的白名单。对于弱密码的情况，如果是可控的，必须直接设置为不允许弱密码，比如ssh，可以通过修改系统密码复杂度要求来实现。对于接管的服务器或系统，可以使用一些工具，比如xscan、f-scrack、hydra、hscan等工具扫描弱密码。如果web端有弱密码，我常用的方法是用brup+dictionary的形式扫描。也可以通过 Cheetah 和 WebCrack 等工具进行测试，前提是获得内部许可。对于系统和组件漏洞，可以通过 Nessus 自身进行安全检测，也可以通过审计工具 lynis 扫描服务器安全基线。

紧急恢复

不幸的是，如果它被开采了，它必须紧急处理。处理原则是尽快恢复营业

云服务器比较简单。如果平时做定时快照和异地数据备份，先对挖矿服务器做快照备份，以备事后回顾，再恢复快照，恢复数据和业务

如果是物理服务器就比较麻烦如果业务不能长时间中断，可以考虑先将业务切换到另一台服务器，再进行排查清理

常见的故障排除工具如下：

GScanrkhunterFastIR

等挖矿使用ssl，可生成紧急报告，并根据报告进行确认和故障排除。

总结：

进攻是最好的防守。只有了解自己的弱点，才能做到更好的防守。

原文来自：