|
减少服务器被入侵 , z4 M3 j- ` T# k
排查方向0 c& d2 [! c. v9 k( b
1、日志
1 y* d' `7 v; A# K查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征- p6 R) u. V+ m# A! e! T! ?3 \
2、系统分析: r. ?2 a: f7 }3 h* D# i t" k
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。
/ w2 f+ O# N8 m发现/root/.bash_history内历史记录已经被清除,其他无异常。$ }3 u y6 Z& S! Q: s- d1 r
3、进程分析
6 o4 F/ w1 @ `! X" O' K对当前活动进程、网络连接、启动项、计划任务等进行排查。5 X$ _7 k/ K! i" T
4、文件系统2 K$ N0 K9 \' b) h( R
查看系统关键的文件是否被修改等。
- @7 b# C# T" C0 {8 W5、后门排查: c" b3 x+ L6 g) N0 L
使用入侵检测工具扫描系统是否存在后门漏洞。4 O- `' \, y9 I# @0 g
" t4 r8 v1 p5 Z/ ?. [
3 r0 v6 {! v" A% g: Y& P5 _
, \- P0 Y S! d& g加固建议$ Z, Z- J; J; @3 o$ A: w
1、 禁用不必要启动的服务与定时任务。; `6 ?4 W {8 v, _, v8 x& G) L
2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。6 _# O X% S _
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。 |
|