被勒索病毒SATAN、SATAN_PRO病毒攻击了

记被一次被勒索病毒攻击的状况

今天下午忽然发现自己的云服务器上的一个项目登不上去了,于是连上NppFtp想查看一下TomCat的log文件,结果发现了这么一个奇怪的东西。
被勒索病毒SATAN、SATAN_PRO病毒攻击了_第1张图片
点开时候是这样的:
被勒索病毒SATAN、SATAN_PRO病毒攻击了_第2张图片
当时我的第一反应居然是很开心,毕竟因为域名没有备案,我的网站不能被搜索引擎扫描到,所以只有我自己上着玩,一直都觉得好孤独啊,今天、今天终于有人访问了我的服务器,我真的好高兴,哪怕他是个黑帽子233。

然后我就在想解决办法:

以我浅薄有限的经验,勒索病毒加密的文件后缀一般是这个病毒的名字,或者是有所关联的,于是我便在不存在的搜索引擎Google上面搜索了一下,没有发现Satan_pro,倒是发现了它的父亲撒旦——>Satan
被勒索病毒SATAN、SATAN_PRO病毒攻击了_第3张图片
国内对撒旦病毒的报道,我只找到了腾讯的报告,但是他们只提供了Windows系统的修复,没有说Linux的事情(喂!我的服务器就是在你家买的啊魂淡),于是我只能自己寻找中毒的原因和解决的办法。
首先是排查端口暴露,我前天刚刚改了云服务器的安全组
被勒索病毒SATAN、SATAN_PRO病毒攻击了_第4张图片

除了这几个必要的端口,其他的我一个都没放,这方面的怀疑性放到最低。

然后腾讯说它的攻击模式是这样的:

被勒索病毒SATAN、SATAN_PRO病毒攻击了_第5张图片
我的服务器是CentOS7.5的版本,并且只安装了一个HTTP服务器,那么看来锅是要落在Tomcat的弱口令头上了(我配置的是admin,密码也一样,以前确实没想到有人会攻击这个)。

在我写文章的这段时间,这个病毒应该正在用弱口令爆破我的SSH连接,我并没有关闭它,因为刚刚联系了火绒,想问问他们是否需要这个变种的病毒样本,不过现在是深夜,可能他们都睡了,明天看看情况,

接下来的打算是:1.彻底放弃服务器上的信息,服务器上又没有啥重要数据,完了自己再重新上传。
2.重装以后关闭不需要的端口。
3.为Tomcat设置强口令。
4.设置SSH只能秘钥登陆,或者设置更强的口令。
5.安装Linux杀毒软件LMD。 LMD安装教程
6.在Tomcat中开启对访问者IP的记录。

腾讯云给出的安全建议:

被勒索病毒SATAN、SATAN_PRO病毒攻击了_第6张图片

总结:要时刻做好安全防护的准备,攻击者不光是在攻击系统的漏洞,还有我们自己的疏忽!

你可能感兴趣的:(服务器使用)