1. 背景

????????我們的服務器部署在某云上，這臺服務器的配置是8核16G，用途是GitLab和VPN。環境是內網通訊，公司無專業的運維工程師。

2. 發現

????????2022年01月的某一天，項目成員反饋GitLab無法正常進入，頁面響應502。然后就意識到GitLab服務出了問題。

3. 排查

????????進入排查，通過vpn登錄到服務器，查詢到gitLab進程已經異常，進行gitLab重新啟動，啟動成功。

????????啟動成功之后，發現GitLab所有的項目全部沒有了，開始定位問題：

????????思路一：gitLab進程異常，二次重啟，還是未解決。

????????思路二：進入到gitLab默認的項目文件保存目錄發現該目錄下的存儲項目的文件夾被清空。

??????? 思路三：查詢history，命令執行歷史記錄，未查詢到異常。

????????思路四：查詢top進程，查看異常進程，無異常。

????????通過上述定位，問題是：gitLab的保存項目的文件夾被清空；接下來開始查找被清空原因，通過某云上10:40的預警，說服務器可能被DDOS共計，不限于執行了python或者其他腳本。

????????截圖如下：

????????開始轉換思路，這是被病毒注入了。

????????通過上面的wegt地址，在新的服務器（針對病毒啟動了一臺全新的臨時服務器）把bins.sh進行下載，內容如下：

????????病毒文件如下：

????????經鑒定確認這只一種挖礦木馬，木馬對服務器內部文件進行了損壞，其中包含gitlab。

????????經查詢GitLab服務器一個外網端口在暴露著，打開正好是GitLab登錄的頁面，病毒通過登錄窗口進行侵入，提權進行下載挖礦項目。

4. 解決

????????挖礦病毒入侵，殘留比較嚴重，無法保證全部刪除干凈，進行鏡像回復出廠設置，進行重新搭建VPN+GitLab。

5. 總結

????????1. GitLab服務器應該配置為內網，禁止對外開放外網端口；GitLab更改默認80端口，默認存儲文件夾進行更改新的位置；

????????2. vpn服務器使用某云，由某云進行入口防護，或者安全性低自己搭建vpn服務器，對外僅暴露1個vpn端口。

????????3. 進行服務器鏡像快照備份。

6. 安全的重要性

????????當公司還是小型互聯網公司時候，大家對安全并不重視，也是允許因為無攻擊價值和攻擊后的損耗，公司也是處于生存期。但是當公司已經渡過了生存期，到達發展期，那么業務的增長和業務安全的重要性，那么系統安全尤為重要。應該有專門的運維安全工程師進行安全防護，防護分為內部防護和外部防護，在這里不做延展。

總結

以上是生活随笔為你收集整理的记一次服务器被木马注入攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。