|
减少服务器被入侵 & H1 p) n; k% `; N3 M+ `
排查方向
/ J E: ^/ D/ ^; o# k1、日志9 K6 u" q' K5 k- ~. z1 g0 ?
查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征: }' ~5 b Q/ p" R& X
2、系统分析& h; e! h% q" Z8 h: P2 d
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。
$ I, a) j3 {; _9 B+ }发现/root/.bash_history内历史记录已经被清除,其他无异常。
: J$ r2 s0 F/ ^* H+ ^3 ~- g3、进程分析
/ C' X# L2 Q* S/ ]7 T# O对当前活动进程、网络连接、启动项、计划任务等进行排查。5 b* I, w b/ U! P4 a
4、文件系统4 b) o5 m. U2 h& m, ?* u- ~
查看系统关键的文件是否被修改等。
# w% H3 F @$ j) X0 |, O5、后门排查
2 K X' U9 o+ ? H使用入侵检测工具扫描系统是否存在后门漏洞。
0 ?: _% C: W, p" x
0 X$ N. K! B. c& p' t$ c7 D9 \, J
2 v: j, Y/ n8 }6 E0 B- C
3 s2 \) X- l8 F0 t0 j9 b1 {加固建议
# j% h9 V! i" R! N2 Y1、 禁用不必要启动的服务与定时任务。
6 a$ _6 k; c& E2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。2 d# D% D9 I2 c( y: O% v
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。 |
|