|
减少服务器被入侵
; K; B$ Q3 i7 y排查方向
' a5 L& G' ]6 e# ?* |5 G1、日志
+ A/ x( y$ S! A8 h查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征- I4 u: p) s. n/ I; z8 V; ^
2、系统分析
) s) r( l+ @- u* f; Q% N对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。5 w5 L# n% D+ C8 |4 @- }
发现/root/.bash_history内历史记录已经被清除,其他无异常。; G# ]* ^ x6 `5 S$ W! g* V$ A8 f
3、进程分析5 v' N6 @/ {! S* r0 j
对当前活动进程、网络连接、启动项、计划任务等进行排查。
1 j8 Z( Z7 S* ?! Q! |4、文件系统8 |+ U) a, `2 a" x- W& |
查看系统关键的文件是否被修改等。
0 \) y8 r& O$ X5、后门排查( v' F, V& W1 c6 d; |% E! T
使用入侵检测工具扫描系统是否存在后门漏洞。5 B" \/ A. N ?- C- b
8 i$ w; J9 Q& G& [+ L( R
. Q5 N) g/ |- j# I" x' ?$ u* O" f9 P; p/ C K1 P
加固建议. O4 p3 [& Y8 P- {: G
1、 禁用不必要启动的服务与定时任务。
7 d3 T; [# K, G: s2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。1 |; v) I$ F# `& ~4 ?! r7 [% ^" ]
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。 |
|