fnvtk/karuo-ai
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
karuo-ai/_经验库/已整理/运维经验/服务器安全_对话复盘_2026.md

7.5 KiB
Raw Permalink Blame History

服务器安全 · 对话复盘2026

基于卡若AI 对话归档与分布式算力/服务器管理相关记录,对「服务器安全」主题做统一复盘。
覆盖腾讯云告警处置、小型宝塔入侵与清理、SSH/端口加固、文档与配置下线。

一、目标 & 结果

目标 结果
处置腾讯云恶意文件告警 完成:定位小型宝塔 42.194.232.22,清除 XMRig 挖矿木马与后门,封禁 4 个攻击 IP
加固 SSH、减少暴破与再入侵 ⚠️ 部分:小型宝塔已做清理+封禁;后续改为 22022 端口;该机已下线
存客宝 / kr宝塔 SSH 可用性 ⚠️ 部分kr宝塔已用安全组开放 22022存客宝仍建议按需开放
下线小型宝塔并统一文档与配置 完成:资产表、脚本、排除列表、飞书小结均已移除小型宝塔

二、过程(按时间线)

2.1 2026-02-01腾讯云告警 → 入侵确认与处置

  • 触发:腾讯云主机安全告警——恶意文件 /tmp/.systemdpw/systemwatcher,服务器内网 10.1.8.13,外网 42.xxx。
  • 定位:对照账号索引,确认为小型宝塔 42.194.232.22VM-8-13-opencloudos用 sshpass 登录成功。
  • 发现
    • XMRig 门罗币挖矿:/tmp/.systemdpw/config.json、矿池 pool.hashvault.pro
    • 后门与持久化:/home/www/.config/sys-update-daemon6.3MB ELF/home/www/c3pool/ 挖矿套件、www 用户 crontab @reboot sys-update-daemon
    • SSH 暴破与入侵51.159.36.140、45.234.152.254智利、211.156.84.63 / 211.156.92.15(中国)——后两个已成功登录。
  • 处置:删除上述恶意目录/文件、清除 www 恶意 crontab、封禁上述 4 个 IP处置后 SSH 被安全策略阻断,主要威胁已清除。
  • 沉淀:产出 攻击链分析_20260201.md(攻击链 6 阶段、处置记录、根因与改进)。

2.2 2026-02-01 / 02-04小型宝塔后续——清理与端口

  • 对话
    • 02-01清理小型宝塔服务器空间并反馈清理内容。
    • 02-04清理小型宝塔出现的错误并把小型宝塔 IP 的 SSH 端口改成 22022腾讯云安全组 + 本机 sshd 配置)。
  • 结果错误与清理完成SSH 改为 22022减少 22 端口暴破面。

2.3 2026-02-05 / 02-07安全与访问策略

  • 02-05:检查小型宝塔「兽巨丸子顶控」相关,约定不把本地文件上传到该服务器(控制暴露面)。
  • 02-07
    • 腾讯云再次主机安全类告警(对话归档中有「主机安全检测」相关条目)。
    • 检查 43.139.27.93kr宝塔整体配置并从安全角度分析。
    • 讨论从宝塔配置 SSH、服务器访问方式等。

2.4 2026-02-15全量扫描与自有设备安全状态

  • 全量扫描报告_20260215
    • 自有服务器(存客宝/kr宝塔/小型宝塔/NAS已排除出外网扫描。
    • 小型宝塔 42.194.232.22:完全不可达、无端口开放,建议检查是否关机。
    • kr宝塔 43.139.27.93SSH 关闭、Web 在线;建议安全组开放 22 或使用 22022。
    • 存客宝SSH 关闭VNC/RDP 开放;建议安全组开放 22 或经 VNC/RDP 开 SSH。
  • 后续kr宝塔已通过脚本/文档明确使用 22022小型宝塔整机下线。

2.5 2026-01-28本轮小型宝塔下线与配置统一

  • 需求小型宝塔已取消需从卡若AI 文档与配置中删除该服务器。
  • 执行
    • 文档:服务器管理 SKILL、端口配置表、00_账号与API索引、存客宝/消费说明、群晖 NAS、分布式算力 SKILL、已部署节点清单、飞书小结等——删除或改写小型宝塔示例统一为 kr宝塔。
    • 脚本快速检查服务器、ssl证书检查、按内网IP定位宝塔、一键部署默认改为 kr宝塔 43.139.27.93:22022、fleet_monitor、pcdn_auto_deploy——从列表或默认目标中移除小型宝塔。
    • 分布式算力OWN_INFRASTRUCTURE、exclude_cidrs、已知设备表、nmap 排除示例中移除 42.194.232.22。
  • 未改对话归档、全量扫描报告、agent 对话记录、攻击链分析等历史记录保留,仅作追溯。

三、反思

  1. 根因(攻击链分析已写):弱密码(姓名+年份)、无 fail2ban、允许 root 密码登录 → 暴破成功 → 投放 XMRig + 持久化。下线一台机器后,若文档/脚本/排除列表未同步,容易继续指向已下线 IP造成误操作或误判。
  2. 处置时连接被断:封禁 IP 或安全策略触发后,本机 SSH 被阻断;后续需优先用「非 22 端口 + 安全组最小开放」或密钥登录,避免把运维 IP 一并封掉。
  3. 多台宝塔的 SSH 策略不统一:小型宝塔曾改 22022kr宝塔后续也统一 22022存客宝仍多为 22 关闭、VNC/RDP 备用。建议在「服务器注册表」或同一份运维文档中写清每台机的 SSH 端口与开放策略。
  4. 安全与成本取舍:小型宝塔经历入侵后最终整机下线,既消除该机风险,也减少一台机器带来的持续成本与维护面。

四、总结

  • 事件主链:腾讯云告警 → 定位小型宝塔 → 确认 XMRig+后门+入侵 IP → 清除恶意文件与 crontab、封禁 4 IP → 改 SSH 端口 22022 → 全量扫描明确自有设备状态 → 小型宝塔下线并统一文档/配置。
  • 可复用经验
    • 告警出现先对「内网 IP / 外网 IP / 服务器 ID」对应到资产表再动手。
    • 清理顺序:杀进程 → 删文件/目录 → 清 crontab → 封 IP → 改密码/改端口/fail2ban/密钥。
    • 下线服务器要同时改:资产表、凭证表、示例命令、默认脚本、排除列表、端口说明。

五、执行(后续建议)

优先级 动作
P0 存客宝、kr宝塔定期更新系统与宝塔/Nginx/PHP/MySQL关注安全公告与存客宝宝塔服务器_配置与性能优化报告一致
P1 存客宝若需 SSH在腾讯云安全组按需开放 22 或固定端口,或经 VNC/RDP 登录后开启 SSH 并限制来源 IP。
P2 新机或重装:强密码 + 改 SSH 端口 + fail2ban + 尽量密钥登录、禁用 root 密码(或限制来源)。
P3 定期查阅腾讯云站内信/主机安全告警,重要处置记录可写入「站内信处理记录」或本复盘文档的「过程」一节。

六、关联文档与对话来源

类型 路径/说明
攻击链分析 01_卡资/金仓_存储备份/分布式算力管控/参考资料/攻击链分析_20260201.md
Agent 对话记录 01_卡资/金仓_存储备份/分布式算力管控/agent对话记录/分布式算力矩阵.md2026-02-01 恶意文件处置全流程)
全量扫描与自有设备 01_卡资/金仓_存储备份/分布式算力管控/参考资料/全量扫描报告_20260215.md
对话归档本日汇总 02_卡人/水溪_整理归档/对话归档/2026-02-01、02-04、02-05、02-07 等(清理、端口、错误、检查 93 配置等)
服务器消费与安全 运营中枢/工作台/宝塔与存客宝服务器_消费与流量说明.md存客宝宝塔服务器_配置与性能优化报告.md
小型宝塔下线修改范围 见前文「2.5 小型宝塔下线与配置统一」所列文档与脚本。

复盘生成时间2026-01-28。基于现有对话归档与文档整理若有新告警或处置可追加到「过程」与「执行」中。