|
减少服务器被入侵 - H3 x$ x# X- y/ @6 }7 S% p, n
排查方向
6 ~* Z @4 i& T/ M- P$ L1、日志
, x: I! X6 G$ J. Y5 T查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征, H3 m3 D: }! F" n
2、系统分析9 n( o& k- @ E4 l! `
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。3 i4 ?' l( Z; L& p- J& G* y! w
发现/root/.bash_history内历史记录已经被清除,其他无异常。
5 ]( G# e0 H' w, ]3、进程分析7 e( G2 o" C" Y
对当前活动进程、网络连接、启动项、计划任务等进行排查。
; c) P: z7 s' D2 Q2 @& y4、文件系统
r( w# a; h2 k0 `: c查看系统关键的文件是否被修改等。
$ T: B. F# o$ v5 \% n4 b ?' G5、后门排查
# `( q6 T8 I \. m使用入侵检测工具扫描系统是否存在后门漏洞。
4 D7 `) ?# W# `4 Q% {* W1 n6 m0 A% M) } w7 ]6 p
7 w4 g7 m4 v3 c) Q. E
' k; k+ k0 i) B+ T加固建议7 ~8 U* v' i" n1 Q- Q4 D- Y
1、 禁用不必要启动的服务与定时任务。
`) w" G! `5 b/ T* `9 x2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。7 Q$ T: o6 v! e+ T
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。 |
|