Linux 伺服器現比特幣勒索事件，如何做好防範？

繼 Windows 遭遇勒索病毒之後，Linux 伺服器遭比特幣勒索案例已出現，你以為繳納贖金就結束了?

重要預警

近期，騰訊雲安全團隊監測到雲上 Linux 伺服器開始出現比特幣勒索事件，這是首次雲上發現 Linux 伺服器遭比特幣勒索， 用戶在訪問自身 Linux 伺服器的時候會出現如上相關的勒索信息，並且發現伺服器中除必要系統文件外的一些其他文件均被粗暴刪除。

簡要分析

「破壞式欺騙勒索」

經分析發現，黑客主要利用 Redis 未授權等安全漏洞入侵伺服器，然後粗暴的刪除伺服器上的文件，再修改 /etc/motd 留下勒索信息。

這是首次雲上發現 Linux 比特幣勒索，相對比 Windows 環境下的通過勒索軟體進行文件加密勒索的行為，Linux 下的勒索方式則顯得更為粗暴，採用直接刪除文件而非加密文件的方式，整個勒索更多的偏向於欺詐，我們稱其為"破壞式欺騙勒索"，實際可能即使按照勒索要求轉賬比特幣也無法找迴文件。同時這樣的手段也使得無需針對性的編寫勒索軟體，實施的成本更低;但對用戶而言，傷害更高，如果沒有及時對數據文件進行備份，被刪除的數據文件可能無法找回，只能請第三方數據恢復公司幫忙進行恢復。

安全建議

建議用戶加強主機安全防範，防範此類事件中招而導致數據丟失等問題，具體可參考以下方式：

1、及時備份伺服器上的數據，比如採用騰訊雲提供的快照功能，對伺服器進行快照，方便即使伺服器被入侵後也可以通過快照快速恢複數據和業務;

2、排查機器上的服務安全，特別是一些外網可以訪問的服務，避免導致如 Redis 未授權訪問導致伺服器被入侵的問題;

3、對伺服器添加安全組，進行訪問限制，關閉非白名單 IP 的訪問;如果條件允許，建議修改默認的遠程訪問埠，如22修改為2212等，避免可能的暴力破解問題;

4、除以上羅列之外，更便捷的方式是採用騰訊雲安全產品進行安全問題的發現與防護：

a) 開通雲鏡專業版，及時發現伺服器上的安全漏洞，同時能夠第一時間獲知伺服器入侵事件進行響應;

b) 針對 Web 應用漏洞的防護可以選購騰訊雲網站管家，針對 Web 漏洞利用和攻擊進行防護，避免由 Web 漏洞導致的入侵事件;

c) 可以選購專家服務，對業務進行安全測試，提前通過安全專家發現安全問題，也可以通過在事件發生時尋求安全專家的協助。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！