清理病毒的参考资料

昨天才安装体验试用了下Clamav，没想到这次居然没起到其杀毒软件的作用啊...也不知道后来了解到的河马查杀效果怎样。经过这次事情后，我对Linux平台杀毒软件检测病毒的能力，也不是太乐观。

了解黑客攻击云主机的行为方式：

Daryl179-公司云服务器被挖矿的解决方法-csdn

Daryl179-使用Kali对网站进行DDos攻击-csdn

极客飞扬-排查Linux系统下SSH被暴力破解植入pnscan 挖矿病毒入侵服务器

定时任务关闭及清除：

-公司云ECS遭挖矿程序攻击解决方法（彻底清除挖矿程序，顺便下载了挖矿程序的脚本）

公司云安全中心-挖矿程序处理最佳实践

由于是免费领的公司云主机，我基本上很少登录，所以没配置安装软件之类的，索性把root的定时任务全清除了。

后续策略

土豪或企业交给公司云团队维护那另说，这里分享下我了解到的处理方式。

1. 修改用户登录策略

虽然他们小哥是不错参考资料，但必须要注意Linux的版本号，版本不一样，命令也是大有改动。19年的centos8取消了pam_tally2模块，但网上不少小哥是2023、2023，他们可能当时就是用的centos8以下。

linux 终端 设置连接登录密码 + 登录失败处理功能策略

uos账号解锁

CentOS 8.0配置安全策略（用户3次登录失败锁定3分钟）

以上总结是CentOS8对修改sshd文件的教训，只适合CentOS7及以下。还学到一招查看日志信息

tail -f /var/log/messages

。

修改配置

vi /etc/pam.d/system-auth

# 顶行复制如下指令，即默认所有用户通用处理。

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 even_deny_root

解锁用户

# 解锁一个用户

faillock --user It --reset

# 解锁所有用户

faillock--reset

公司给出的《Linux操作系统加固》文档，本质上就是用户登录策略...不过文档挺好、挺详细的。

2. 关闭不需要的远程端口及ICMP回显（ping）

关闭自己不用的桌面系统远程端口，如Windows：3389，SSH：22，改成其他的端口。

cp /etc/ssh/sshd_config /etc/ssh/sshd_config_bak/sshd_config && vi /etc/ssh/sshd_config

# 找到 # port 22位置，在下方添加 port 1122

但完全限伤，只用VNC登录使用的话，太难受了...

3. 限制IP或更换IP

“0.0.0.0/0”，任何人都能访问，还是不太安全啊...百度关键字“IP”，临时用自己的公网IP登录，弄个弹性IP，换下IP也行吧...不过由于我个人在云主机没放什么新的东西，也没部署ftp、web等服务啥的，用的时候登录网页开启远程访问端口，这样也可以。

4. 若是自己存有新的资料及配置，那就自己做好每天的快照备份。

Linux不像微软的Windows那么服务到位，还有补丁推送，有不少杀软防护。基本上一切都得自己来。客服表示我想高枕无忧，啥也不想管，得找得加钱买服务，如：“web应用加固”、“企业支持计划”，全是一堆要钱的玩意。

总的来说，恶意脚本、软件不时重启打开，又会额外又生成多个脚本垃圾等；待到下次系统启动时，没查杀到的文件又会再自启运行生成其他文件，如此循环是挺难根除的。这样的话，还不如备份快照还原来得快。返回搜狐，查看更多