Linux服務(wù)器做好這四點(diǎn)可免遭比特幣勒索

胡立

近期，騰訊云安全團(tuán)隊(duì)監(jiān)測(cè)到云上Linux服務(wù)器開(kāi)始出現(xiàn)比特幣勒索事件，這是首次云上發(fā)現(xiàn)Linux服務(wù)器遭比特幣勒索，用戶在訪問(wèn)自身Linux服務(wù)器的時(shí)候會(huì)出現(xiàn)相關(guān)的勒索信息，并且發(fā)現(xiàn)服務(wù)器中除必要系統(tǒng)文件外的一些其他文件均被粗暴刪除。經(jīng)分析發(fā)現(xiàn)，黑客主要利用Redis未授權(quán)等安全漏洞入侵服務(wù)器，然后粗暴地刪除服務(wù)器上的文件，再修改/etc/motd留下勒索信息。

這是首次云上發(fā)現(xiàn)Linux比特幣勒索，相對(duì)比Windows環(huán)境下的通過(guò)勒索軟件進(jìn)行文件加密勒索的行為，Linux下的勒索方式則顯得更為粗暴，采用直接刪除文件而非加密文件的方式，整個(gè)勒索更多地偏向于欺詐，稱其為“破壞式欺騙勒索”，實(shí)際可能即使按照勒索要求轉(zhuǎn)賬比特幣也無(wú)法找回文件。同時(shí)這樣的手段也使得無(wú)需針對(duì)性地編寫勒索軟件，實(shí)施的成本更低；但對(duì)用戶而言傷害更高，如果沒(méi)有及時(shí)對(duì)數(shù)據(jù)文件進(jìn)行備份，被刪除的數(shù)據(jù)文件可能無(wú)法找回，只能請(qǐng)第三方數(shù)據(jù)恢復(fù)公司幫忙進(jìn)行恢復(fù)。

建議用戶加強(qiáng)主機(jī)安全防范，防范此類事件中招而導(dǎo)致數(shù)據(jù)丟失等問(wèn)題，具體可參考以下方式：

1.及時(shí)備份服務(wù)器上的數(shù)據(jù)，比如采用騰訊云提供的快照功能，對(duì)服務(wù)器進(jìn)行快照，方便即使服務(wù)器被入侵后也可以通過(guò)快照快速恢復(fù)數(shù)據(jù)和業(yè)務(wù)；

2.排查機(jī)器上的服務(wù)安全，特別是外網(wǎng)可以訪問(wèn)的服務(wù)，避免導(dǎo)致如Redis未授權(quán)訪問(wèn)導(dǎo)致服務(wù)器被入侵的問(wèn)題；

3.對(duì)服務(wù)器添加安全組，進(jìn)行訪問(wèn)限制，關(guān)閉非白名單IP的訪問(wèn)，如果條件允許，建議修改默認(rèn)的遠(yuǎn)程訪問(wèn)端口，如22修改為2212等，避免可能的暴力破解問(wèn)題；

4.除以上羅列之外，更便捷的方式是采用騰訊云安全產(chǎn)品進(jìn)行安全問(wèn)題的發(fā)現(xiàn)與防護(hù)。方法是：

①開(kāi)通云鏡專業(yè)版，及時(shí)發(fā)現(xiàn)服務(wù)器上的安全漏洞，同時(shí)能夠第一時(shí)間獲知服務(wù)器入侵事件進(jìn)行響應(yīng)；

②針對(duì)Web應(yīng)用漏洞的防護(hù)可以選購(gòu)騰訊云網(wǎng)站管家，針對(duì)Web漏洞利用和攻擊進(jìn)行防護(hù)，避免由Web漏洞導(dǎo)致的入侵事件；

③可以選購(gòu)專家服務(wù)，對(duì)業(yè)務(wù)進(jìn)行安全測(cè)試，提前通過(guò)安全專家發(fā)現(xiàn)安全問(wèn)題，也可以通過(guò)在事件發(fā)生時(shí)尋求安全專家的協(xié)助。