Linux服務器做好這四點可免遭比特幣勒索

胡立

近期，騰訊云安全團隊監測到云上Linux服務器開始出現比特幣勒索事件，這是首次云上發現Linux服務器遭比特幣勒索，用戶在訪問自身Linux服務器的時候會出現相關的勒索信息，并且發現服務器中除必要系統文件外的一些其他文件均被粗暴刪除。經分析發現，黑客主要利用Redis未授權等安全漏洞入侵服務器，然后粗暴地刪除服務器上的文件，再修改/etc/motd留下勒索信息。

這是首次云上發現Linux比特幣勒索，相對比Windows環境下的通過勒索軟件進行文件加密勒索的行為，Linux下的勒索方式則顯得更為粗暴，采用直接刪除文件而非加密文件的方式，整個勒索更多地偏向于欺詐，稱其為“破壞式欺騙勒索”，實際可能即使按照勒索要求轉賬比特幣也無法找回文件。同時這樣的手段也使得無需針對性地編寫勒索軟件，實施的成本更低；但對用戶而言傷害更高，如果沒有及時對數據文件進行備份，被刪除的數據文件可能無法找回，只能請第三方數據恢復公司幫忙進行恢復。

建議用戶加強主機安全防范，防范此類事件中招而導致數據丟失等問題，具體可參考以下方式：

1.及時備份服務器上的數據，比如采用騰訊云提供的快照功能，對服務器進行快照，方便即使服務器被入侵后也可以通過快照快速恢復數據和業務；

2.排查機器上的服務安全，特別是外網可以訪問的服務，避免導致如Redis未授權訪問導致服務器被入侵的問題；

3.對服務器添加安全組，進行訪問限制，關閉非白名單IP的訪問，如果條件允許，建議修改默認的遠程訪問端口，如22修改為2212等，避免可能的暴力破解問題；

4.除以上羅列之外，更便捷的方式是采用騰訊云安全產品進行安全問題的發現與防護。方法是：

①開通云鏡專業版，及時發現服務器上的安全漏洞，同時能夠第一時間獲知服務器入侵事件進行響應；

②針對Web應用漏洞的防護可以選購騰訊云網站管家，針對Web漏洞利用和攻擊進行防護，避免由Web漏洞導致的入侵事件；

③可以選購專家服務，對業務進行安全測試，提前通過安全專家發現安全問題，也可以通過在事件發生時尋求安全專家的協助。