|
减少服务器被入侵 6 R+ h4 R! q q
排查方向
% E# o8 w5 _; u% O r% ^1、日志
1 t- ]( [& g) J+ _查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征
2 v j: ?/ `( J5 i% Z3 K2、系统分析
% s& ~8 {2 O$ Z h8 `: k# _- w对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。
5 F/ k6 G$ z0 b3 G0 s6 g- G3 @- O2 f发现/root/.bash_history内历史记录已经被清除,其他无异常。
/ W" f. r$ v$ Z0 _3、进程分析% L) R# p8 A3 _2 p' r e( l
对当前活动进程、网络连接、启动项、计划任务等进行排查。4 R1 \) ~# A3 z1 ~% ^0 D
4、文件系统
$ w; u G5 i0 D查看系统关键的文件是否被修改等。
0 }; c) u2 G( L- j5、后门排查: n: U8 B3 |* o' n; u: F, x2 R1 |
使用入侵检测工具扫描系统是否存在后门漏洞。
* E8 f& ]$ @. @
1 R# R7 P: q* g2 m" Y5 @3 Y( a. w3 k8 O) _% \9 P# \! P% B
3 C Z6 m! N* {6 x. ^/ J8 R
加固建议
- P& V1 G" V6 y" S, N: q9 {1、 禁用不必要启动的服务与定时任务。
. Q. [* X: f3 k1 p3 n0 y7 l6 ]% y2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。3 }3 ~. q& G& R! r$ Q
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。 |
|