被勒索病毒SATAN、SATAN_PRO病毒攻击了

记被一次被勒索病毒攻击的状况

今天下午忽然发现自己的云服务器上的一个项目登不上去了，于是连上NppFtp想查看一下TomCat的log文件，结果发现了这么一个奇怪的东西。

点开时候是这样的：

当时我的第一反应居然是很开心，毕竟因为域名没有备案，我的网站不能被搜索引擎扫描到，所以只有我自己上着玩，一直都觉得好孤独啊，今天、今天终于有人访问了我的服务器，我真的好高兴，哪怕他是个黑帽子233。

然后我就在想解决办法：

以我浅薄有限的经验，勒索病毒加密的文件后缀一般是这个病毒的名字，或者是有所关联的，于是我便在不存在的搜索引擎Google上面搜索了一下，没有发现Satan_pro，倒是发现了它的父亲撒旦——>Satan

国内对撒旦病毒的报道，我只找到了腾讯的报告，但是他们只提供了Windows系统的修复，没有说Linux的事情（喂！我的服务器就是在你家买的啊魂淡），于是我只能自己寻找中毒的原因和解决的办法。
首先是排查端口暴露，我前天刚刚改了云服务器的安全组

除了这几个必要的端口，其他的我一个都没放，这方面的怀疑性放到最低。

然后腾讯说它的攻击模式是这样的：

我的服务器是CentOS7.5的版本，并且只安装了一个HTTP服务器，那么看来锅是要落在Tomcat的弱口令头上了（我配置的是admin，密码也一样，以前确实没想到有人会攻击这个）。

在我写文章的这段时间，这个病毒应该正在用弱口令爆破我的SSH连接，我并没有关闭它，因为刚刚联系了火绒，想问问他们是否需要这个变种的病毒样本，不过现在是深夜，可能他们都睡了，明天看看情况，

接下来的打算是：1.彻底放弃服务器上的信息，服务器上又没有啥重要数据，完了自己再重新上传。
2.重装以后关闭不需要的端口。
3.为Tomcat设置强口令。
4.设置SSH只能秘钥登陆，或者设置更强的口令。
5.安装Linux杀毒软件LMD。 LMD安装教程
6.在Tomcat中开启对访问者IP的记录。

腾讯云给出的安全建议：

总结:要时刻做好安全防护的准备，攻击者不光是在攻击系统的漏洞，还有我们自己的疏忽！