记公司云主机再一次被黑客恶意脚本攻击 |
您所在的位置:网站首页 › uos ssh root › 记公司云主机再一次被黑客恶意脚本攻击 |
清理病毒的参考资料 昨天才安装体验试用了下Clamav,没想到这次居然没起到其杀毒软件的作用啊...也不知道后来了解到的河马查杀效果怎样。经过这次事情后,我对Linux平台杀毒软件检测病毒的能力,也不是太乐观。 了解黑客攻击云主机的行为方式: Daryl179-公司云服务器被挖矿的解决方法-csdn Daryl179-使用Kali对网站进行DDos攻击-csdn 极客飞扬-排查Linux系统下SSH被暴力破解植入pnscan 挖矿病毒入侵服务器 定时任务关闭及清除: -公司云ECS遭挖矿程序攻击解决方法(彻底清除挖矿程序,顺便下载了挖矿程序的脚本) 公司云安全中心-挖矿程序处理最佳实践 由于是免费领的公司云主机,我基本上很少登录,所以没配置安装软件之类的,索性把root的定时任务全清除了。 后续策略 土豪或企业交给公司云团队维护那另说,这里分享下我了解到的处理方式。 1. 修改用户登录策略 虽然他们小哥是不错参考资料,但必须要注意Linux的版本号,版本不一样,命令也是大有改动。19年的centos8取消了pam_tally2模块,但网上不少小哥是2023、2023,他们可能当时就是用的centos8以下。 linux 终端 设置连接登录密码 + 登录失败处理功能策略 uos账号解锁 CentOS 8.0配置安全策略(用户3次登录失败锁定3分钟) 以上总结是CentOS8对修改sshd文件的教训,只适合CentOS7及以下。还学到一招查看日志信息 tail -f /var/log/messages 。 修改配置 vi /etc/pam.d/system-auth # 顶行复制如下指令,即默认所有用户通用处理。 auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 even_deny_root 解锁用户 # 解锁一个用户 faillock --user It --reset # 解锁所有用户 faillock--reset 公司给出的《Linux操作系统加固》文档,本质上就是用户登录策略...不过文档挺好、挺详细的。 2. 关闭不需要的远程端口及ICMP回显(ping) 关闭自己不用的桌面系统远程端口,如Windows:3389,SSH:22,改成其他的端口。 cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak/sshd_config && vi /etc/ssh/sshd_config # 找到 # port 22位置,在下方添加 port 1122 但完全限伤,只用VNC登录使用的话,太难受了... 3. 限制IP或更换IP “0.0.0.0/0”,任何人都能访问,还是不太安全啊...百度关键字“IP”,临时用自己的公网IP登录,弄个弹性IP,换下IP也行吧...不过由于我个人在云主机没放什么新的东西,也没部署ftp、web等服务啥的,用的时候登录网页开启远程访问端口,这样也可以。 4. 若是自己存有新的资料及配置,那就自己做好每天的快照备份。 Linux不像微软的Windows那么服务到位,还有补丁推送,有不少杀软防护。基本上一切都得自己来。客服表示我想高枕无忧,啥也不想管,得找得加钱买服务,如:“web应用加固”、“企业支持计划”,全是一堆要钱的玩意。 总的来说,恶意脚本、软件不时重启打开,又会额外又生成多个脚本垃圾等;待到下次系统启动时,没查杀到的文件又会再自启运行生成其他文件,如此循环是挺难根除的。这样的话,还不如备份快照还原来得快。返回搜狐,查看更多 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |