Linux 服務器驚現比特幣勒索事件，騰訊雲安全專家來支招

繼 Windows 遭遇勒索病毒以後，Linux 服務器遭比特幣勒索案例已出現，你覺得繳納贖金就結束了？

重要預警

近期，騰訊雲安全團隊監測到雲上 Linux 服務器開始出現比特幣勒索事件，這是首次雲上發現 Linux 服務器遭比特幣勒索， 用戶在訪問自身 Linux 服務器的時候會出現如上相關的勒索信息，而且發現服務器中除必要系統文件外的一些其餘文件均被粗暴刪除。

簡要分析

「破壞式欺騙勒索」

經分析發現，黑客主要利用 Redis 未受權等安全漏洞入侵服務器，而後粗暴的刪除服務器上的文件，再修改 /etc/motd 留下勒索信息。

這是首次雲上發現 Linux 比特幣勒索，相對比 Windows 環境下的經過勒索軟件進行文件加密勒索的行爲，Linux 下的勒索方式則顯得更爲粗暴，採用直接刪除文件而非加密文件的方式，整個勒索更多的偏向於欺詐，咱們稱其爲」破壞式欺騙勒索」，實際可能即便按照勒索要求轉帳比特幣也沒法找回文件。同時這樣的手段也使得無需針對性的編寫勒索軟件，實施的成本更低；但對用戶而言，傷害更高，若是沒有及時對數據文件進行備份，被刪除的數據文件可能沒法找回，只能請第三方數據恢復公司幫忙進行恢復。

安全建議

建議用戶增強主機安全防範，防範此類事件中招而致使數據丟失等問題，具體可參考如下方式：

一、及時備份服務器上的數據，好比採用騰訊雲提供的快照功能，對服務器進行快照，方便即便服務器被入侵後也能夠經過快照快速恢復數據和業務；

二、排查機器上的服務安全，特別是一些外網能夠訪問的服務，避免致使如 Redis 未受權訪問致使服務器被入侵的問題；

三、對服務器添加安全組，進行訪問限制，關閉非白名單 IP 的訪問；若是條件容許，建議修改默認的遠程訪問端口，如22修改成2212等，避免可能的暴力破解問題；

四、除以上羅列以外，更便捷的方式是採用騰訊雲安全產品進行安全問題的發現與防禦：

a) 開通雲鏡專業版，及時發現服務器上的安全漏洞，同時可以第一時間獲知服務器入侵事件進行響應；

b) 針對 Web 應用漏洞的防禦能夠選購騰訊雲網站管家，針對 Web 漏洞利用和攻擊進行防禦，避免由 Web 漏洞致使的入侵事件；

c) 能夠選購專家服務，對業務進行安全測試，提早經過安全專家發現安全問題，也能夠經過在事件發生時尋求安全專家的協助。