7.5 KiB
7.5 KiB
服务器安全 · 对话复盘(2026)
基于卡若AI 对话归档与分布式算力/服务器管理相关记录,对「服务器安全」主题做统一复盘。
覆盖:腾讯云告警处置、小型宝塔入侵与清理、SSH/端口加固、文档与配置下线。
一、目标 & 结果
| 目标 | 结果 |
|---|---|
| 处置腾讯云恶意文件告警 | ✅ 完成:定位小型宝塔 42.194.232.22,清除 XMRig 挖矿木马与后门,封禁 4 个攻击 IP |
| 加固 SSH、减少暴破与再入侵 | ⚠️ 部分:小型宝塔已做清理+封禁;后续改为 22022 端口;该机已下线 |
| 存客宝 / kr宝塔 SSH 可用性 | ⚠️ 部分:kr宝塔已用安全组开放 22022;存客宝仍建议按需开放 |
| 下线小型宝塔并统一文档与配置 | ✅ 完成:资产表、脚本、排除列表、飞书小结均已移除小型宝塔 |
二、过程(按时间线)
2.1 2026-02-01:腾讯云告警 → 入侵确认与处置
- 触发:腾讯云主机安全告警——恶意文件
/tmp/.systemdpw/systemwatcher,服务器内网 10.1.8.13,外网 42.xxx。 - 定位:对照账号索引,确认为小型宝塔 42.194.232.22(VM-8-13-opencloudos);用 sshpass 登录成功。
- 发现:
- XMRig 门罗币挖矿:
/tmp/.systemdpw/config.json、矿池pool.hashvault.pro。 - 后门与持久化:
/home/www/.config/sys-update-daemon(6.3MB ELF)、/home/www/c3pool/挖矿套件、www 用户 crontab@reboot sys-update-daemon。 - SSH 暴破与入侵:51.159.36.140(法)、45.234.152.254(智利)、211.156.84.63 / 211.156.92.15(中国)——后两个已成功登录。
- XMRig 门罗币挖矿:
- 处置:删除上述恶意目录/文件、清除 www 恶意 crontab、封禁上述 4 个 IP;处置后 SSH 被安全策略阻断,主要威胁已清除。
- 沉淀:产出
攻击链分析_20260201.md(攻击链 6 阶段、处置记录、根因与改进)。
2.2 2026-02-01 / 02-04:小型宝塔后续——清理与端口
- 对话:
- 02-01:清理小型宝塔服务器空间并反馈清理内容。
- 02-04:清理小型宝塔出现的错误,并把小型宝塔 IP 的 SSH 端口改成 22022(腾讯云安全组 + 本机 sshd 配置)。
- 结果:错误与清理完成;SSH 改为 22022,减少 22 端口暴破面。
2.3 2026-02-05 / 02-07:安全与访问策略
- 02-05:检查小型宝塔「兽巨丸子顶控」相关,约定不把本地文件上传到该服务器(控制暴露面)。
- 02-07:
- 腾讯云再次主机安全类告警(对话归档中有「主机安全检测」相关条目)。
- 检查 43.139.27.93(kr宝塔)整体配置并从安全角度分析。
- 讨论从宝塔配置 SSH、服务器访问方式等。
2.4 2026-02-15:全量扫描与自有设备安全状态
- 全量扫描报告_20260215:
- 自有服务器(存客宝/kr宝塔/小型宝塔/NAS)已排除出外网扫描。
- 小型宝塔 42.194.232.22:完全不可达、无端口开放,建议检查是否关机。
- kr宝塔 43.139.27.93:SSH 关闭、Web 在线;建议安全组开放 22 或使用 22022。
- 存客宝:SSH 关闭,VNC/RDP 开放;建议安全组开放 22 或经 VNC/RDP 开 SSH。
- 后续:kr宝塔已通过脚本/文档明确使用 22022;小型宝塔整机下线。
2.5 2026-01-28(本轮):小型宝塔下线与配置统一
- 需求:小型宝塔已取消,需从卡若AI 文档与配置中删除该服务器。
- 执行:
- 文档:服务器管理 SKILL、端口配置表、00_账号与API索引、存客宝/消费说明、群晖 NAS、分布式算力 SKILL、已部署节点清单、飞书小结等——删除或改写小型宝塔,示例统一为 kr宝塔。
- 脚本:快速检查服务器、ssl证书检查、按内网IP定位宝塔、一键部署(默认改为 kr宝塔 43.139.27.93:22022)、fleet_monitor、pcdn_auto_deploy——从列表或默认目标中移除小型宝塔。
- 分布式算力:OWN_INFRASTRUCTURE、exclude_cidrs、已知设备表、nmap 排除示例中移除 42.194.232.22。
- 未改:对话归档、全量扫描报告、agent 对话记录、攻击链分析等历史记录保留,仅作追溯。
三、反思
- 根因(攻击链分析已写):弱密码(姓名+年份)、无 fail2ban、允许 root 密码登录 → 暴破成功 → 投放 XMRig + 持久化。下线一台机器后,若文档/脚本/排除列表未同步,容易继续指向已下线 IP,造成误操作或误判。
- 处置时连接被断:封禁 IP 或安全策略触发后,本机 SSH 被阻断;后续需优先用「非 22 端口 + 安全组最小开放」或密钥登录,避免把运维 IP 一并封掉。
- 多台宝塔的 SSH 策略不统一:小型宝塔曾改 22022;kr宝塔后续也统一 22022;存客宝仍多为 22 关闭、VNC/RDP 备用。建议在「服务器注册表」或同一份运维文档中写清每台机的 SSH 端口与开放策略。
- 安全与成本取舍:小型宝塔经历入侵后最终整机下线,既消除该机风险,也减少一台机器带来的持续成本与维护面。
四、总结
- 事件主链:腾讯云告警 → 定位小型宝塔 → 确认 XMRig+后门+入侵 IP → 清除恶意文件与 crontab、封禁 4 IP → 改 SSH 端口 22022 → 全量扫描明确自有设备状态 → 小型宝塔下线并统一文档/配置。
- 可复用经验:
- 告警出现先对「内网 IP / 外网 IP / 服务器 ID」对应到资产表再动手。
- 清理顺序:杀进程 → 删文件/目录 → 清 crontab → 封 IP → 改密码/改端口/fail2ban/密钥。
- 下线服务器要同时改:资产表、凭证表、示例命令、默认脚本、排除列表、端口说明。
五、执行(后续建议)
| 优先级 | 动作 |
|---|---|
| P0 | 存客宝、kr宝塔:定期更新系统与宝塔/Nginx/PHP/MySQL,关注安全公告(与存客宝宝塔服务器_配置与性能优化报告一致)。 |
| P1 | 存客宝若需 SSH:在腾讯云安全组按需开放 22 或固定端口,或经 VNC/RDP 登录后开启 SSH 并限制来源 IP。 |
| P2 | 新机或重装:强密码 + 改 SSH 端口 + fail2ban + 尽量密钥登录、禁用 root 密码(或限制来源)。 |
| P3 | 定期查阅腾讯云站内信/主机安全告警,重要处置记录可写入「站内信处理记录」或本复盘文档的「过程」一节。 |
六、关联文档与对话来源
| 类型 | 路径/说明 |
|---|---|
| 攻击链分析 | 01_卡资(金)/金仓_存储备份/分布式算力管控/参考资料/攻击链分析_20260201.md |
| Agent 对话记录 | 01_卡资(金)/金仓_存储备份/分布式算力管控/agent对话记录/分布式算力矩阵.md(2026-02-01 恶意文件处置全流程) |
| 全量扫描与自有设备 | 01_卡资(金)/金仓_存储备份/分布式算力管控/参考资料/全量扫描报告_20260215.md |
| 对话归档本日汇总 | 02_卡人(水)/水溪_整理归档/对话归档/2026-02-01、02-04、02-05、02-07 等(清理、端口、错误、检查 93 配置等) |
| 服务器消费与安全 | 运营中枢/工作台/宝塔与存客宝服务器_消费与流量说明.md、存客宝宝塔服务器_配置与性能优化报告.md |
| 小型宝塔下线修改范围 | 见前文「2.5 小型宝塔下线与配置统一」所列文档与脚本。 |
复盘生成时间:2026-01-28。基于现有对话归档与文档整理,若有新告警或处置可追加到「过程」与「执行」中。