karuo-ai/_经验库/已整理/运维经验/服务器安全_对话复盘_2026.md

# 服务器安全 · 对话复盘（2026）

> 基于卡若AI 对话归档与分布式算力/服务器管理相关记录，对「服务器安全」主题做统一复盘。  
> 覆盖：腾讯云告警处置、小型宝塔入侵与清理、SSH/端口加固、文档与配置下线。

---

## 一、目标 & 结果

| 目标 | 结果 |
|------|------|
| 处置腾讯云恶意文件告警 | ✅ 完成：定位小型宝塔 42.194.232.22，清除 XMRig 挖矿木马与后门，封禁 4 个攻击 IP |
| 加固 SSH、减少暴破与再入侵 | ⚠️ 部分：小型宝塔已做清理+封禁；后续改为 22022 端口；该机已下线 |
| 存客宝 / kr宝塔 SSH 可用性 | ⚠️ 部分：kr宝塔已用安全组开放 22022；存客宝仍建议按需开放 |
| 下线小型宝塔并统一文档与配置 | ✅ 完成：资产表、脚本、排除列表、飞书小结均已移除小型宝塔 |

---

## 二、过程（按时间线）

### 2.1 2026-02-01：腾讯云告警 → 入侵确认与处置

- **触发**：腾讯云主机安全告警——恶意文件 `/tmp/.systemdpw/systemwatcher`，服务器内网 10.1.8.13，外网 42.xxx。
- **定位**：对照账号索引，确认为**小型宝塔 42.194.232.22**（VM-8-13-opencloudos）；用 sshpass 登录成功。
- **发现**：  
  - XMRig 门罗币挖矿：`/tmp/.systemdpw/config.json`、矿池 `pool.hashvault.pro`。  
  - 后门与持久化：`/home/www/.config/sys-update-daemon`（6.3MB ELF）、`/home/www/c3pool/` 挖矿套件、www 用户 crontab `@reboot sys-update-daemon`。  
  - SSH 暴破与入侵：51.159.36.140（法）、45.234.152.254（智利）、211.156.84.63 / 211.156.92.15（中国）——后两个已成功登录。
- **处置**：删除上述恶意目录/文件、清除 www 恶意 crontab、封禁上述 4 个 IP；处置后 SSH 被安全策略阻断，主要威胁已清除。
- **沉淀**：产出 `攻击链分析_20260201.md`（攻击链 6 阶段、处置记录、根因与改进）。

### 2.2 2026-02-01 / 02-04：小型宝塔后续——清理与端口

- **对话**：  
  - 02-01：清理小型宝塔服务器空间并反馈清理内容。  
  - 02-04：清理小型宝塔出现的错误，并把小型宝塔 IP 的 SSH 端口改成 22022（腾讯云安全组 + 本机 sshd 配置）。
- **结果**：错误与清理完成；SSH 改为 22022，减少 22 端口暴破面。

### 2.3 2026-02-05 / 02-07：安全与访问策略

- **02-05**：检查小型宝塔「兽巨丸子顶控」相关，约定不把本地文件上传到该服务器（控制暴露面）。
- **02-07**：  
  - 腾讯云再次主机安全类告警（对话归档中有「主机安全检测」相关条目）。  
  - 检查 43.139.27.93（kr宝塔）整体配置并从安全角度分析。  
  - 讨论从宝塔配置 SSH、服务器访问方式等。

### 2.4 2026-02-15：全量扫描与自有设备安全状态

- **全量扫描报告_20260215**：  
  - 自有服务器（存客宝/kr宝塔/小型宝塔/NAS）已排除出外网扫描。  
  - 小型宝塔 42.194.232.22：完全不可达、无端口开放，建议检查是否关机。  
  - kr宝塔 43.139.27.93：SSH 关闭、Web 在线；建议安全组开放 22 或使用 22022。  
  - 存客宝：SSH 关闭，VNC/RDP 开放；建议安全组开放 22 或经 VNC/RDP 开 SSH。  
- **后续**：kr宝塔已通过脚本/文档明确使用 22022；小型宝塔整机下线。

### 2.5 2026-01-28（本轮）：小型宝塔下线与配置统一

- **需求**：小型宝塔已取消，需从卡若AI 文档与配置中删除该服务器。
- **执行**：  
  - 文档：服务器管理 SKILL、端口配置表、00_账号与API索引、存客宝/消费说明、群晖 NAS、分布式算力 SKILL、已部署节点清单、飞书小结等——删除或改写小型宝塔，示例统一为 kr宝塔。  
  - 脚本：快速检查服务器、ssl证书检查、按内网IP定位宝塔、一键部署（默认改为 kr宝塔 43.139.27.93:22022）、fleet_monitor、pcdn_auto_deploy——从列表或默认目标中移除小型宝塔。  
  - 分布式算力：OWN_INFRASTRUCTURE、exclude_cidrs、已知设备表、nmap 排除示例中移除 42.194.232.22。  
- **未改**：对话归档、全量扫描报告、agent 对话记录、攻击链分析等历史记录保留，仅作追溯。

---

## 三、反思

1. **根因（攻击链分析已写）**：弱密码（姓名+年份）、无 fail2ban、允许 root 密码登录 → 暴破成功 → 投放 XMRig + 持久化。下线一台机器后，若文档/脚本/排除列表未同步，容易继续指向已下线 IP，造成误操作或误判。
2. **处置时连接被断**：封禁 IP 或安全策略触发后，本机 SSH 被阻断；后续需优先用「非 22 端口 + 安全组最小开放」或密钥登录，避免把运维 IP 一并封掉。
3. **多台宝塔的 SSH 策略不统一**：小型宝塔曾改 22022；kr宝塔后续也统一 22022；存客宝仍多为 22 关闭、VNC/RDP 备用。建议在「服务器注册表」或同一份运维文档中写清每台机的 SSH 端口与开放策略。
4. **安全与成本取舍**：小型宝塔经历入侵后最终整机下线，既消除该机风险，也减少一台机器带来的持续成本与维护面。

---

## 四、总结

- **事件主链**：腾讯云告警 → 定位小型宝塔 → 确认 XMRig+后门+入侵 IP → 清除恶意文件与 crontab、封禁 4 IP → 改 SSH 端口 22022 → 全量扫描明确自有设备状态 → 小型宝塔下线并统一文档/配置。
- **可复用经验**：  
  - 告警出现先对「内网 IP / 外网 IP / 服务器 ID」对应到资产表再动手。  
  - 清理顺序：杀进程 → 删文件/目录 → 清 crontab → 封 IP → 改密码/改端口/fail2ban/密钥。  
  - 下线服务器要同时改：资产表、凭证表、示例命令、默认脚本、排除列表、端口说明。

---

## 五、执行（后续建议）

| 优先级 | 动作 |
|--------|------|
| P0 | 存客宝、kr宝塔：定期更新系统与宝塔/Nginx/PHP/MySQL，关注安全公告（与存客宝宝塔服务器_配置与性能优化报告一致）。 |
| P1 | 存客宝若需 SSH：在腾讯云安全组按需开放 22 或固定端口，或经 VNC/RDP 登录后开启 SSH 并限制来源 IP。 |
| P2 | 新机或重装：强密码 + 改 SSH 端口 + fail2ban + 尽量密钥登录、禁用 root 密码（或限制来源）。 |
| P3 | 定期查阅腾讯云站内信/主机安全告警，重要处置记录可写入「站内信处理记录」或本复盘文档的「过程」一节。 |

---

## 六、关联文档与对话来源

| 类型 | 路径/说明 |
|------|------------|
| 攻击链分析 | `01_卡资（金）/金仓_存储备份/分布式算力管控/参考资料/攻击链分析_20260201.md` |
| Agent 对话记录 | `01_卡资（金）/金仓_存储备份/分布式算力管控/agent对话记录/分布式算力矩阵.md`（2026-02-01 恶意文件处置全流程） |
| 全量扫描与自有设备 | `01_卡资（金）/金仓_存储备份/分布式算力管控/参考资料/全量扫描报告_20260215.md` |
| 对话归档本日汇总 | `02_卡人（水）/水溪_整理归档/对话归档/2026-02-01、02-04、02-05、02-07` 等（清理、端口、错误、检查 93 配置等） |
| 服务器消费与安全 | `运营中枢/工作台/宝塔与存客宝服务器_消费与流量说明.md`、`存客宝宝塔服务器_配置与性能优化报告.md` |
| 小型宝塔下线修改范围 | 见前文「2.5 小型宝塔下线与配置统一」所列文档与脚本。 |

---

*复盘生成时间：2026-01-28。基于现有对话归档与文档整理，若有新告警或处置可追加到「过程」与「执行」中。*