2019-05-05服务器被攻击了
有些人总是喜欢在休假的时候进行搞事,劳动节好不容易休息,服务器遭到黑客攻击,排查,提高防御措施
一 攻击方法:GET
方法:修改nginx配置
# vim nginx.conf
二 攻击类型:SSH暴力破解
方法:直接设置安全组,修改ssh默认端口,限制ip访问ssh端口(设置白名单),再改防火墙.
注意两个电脑在使用同一WiFi的情况下,连接服务器,所查看到的ip是一样的.
测试是否配置成功:手机开热点,一台电脑连接手机,再去登录,若不可以登录,证明配置成功
安全管控设置白名单
其他排查:
1 查看本机的计划任务,将异常的定时任务删除
根据阿里云安全中心提示的进程异常-访问恶意下载源进行排查
2 查杀异常远程登录
使用last进行查看最近的远程登录人员,
3 通过进程号找到异常文件位置
1)top查看异常进程
2)文件的文件名与相关属性并列出所有文件详细的权限与属性
ls -al /proc/pid(父进程id)
Linux 常见木马清理命令:
1、chattr -i /usr/bin/.sshd
2、rm -f /usr/bin/.sshd
3、rm -f -r /usr/bin/bsd-port
4、rm -r -f /root/.ssh
5、rm -r -f /usr/bin/bsd-port
6、cp /usr/bin/dpkgd/ps /bin/ps
7、cp /usr/bin/dpkgd/netstat /bin/netstat
8、cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
9、cp /usr/bin/dpkgd/ss /usr/sbin/ss
10、find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9
排查 ECS 实例漏洞
1 查看 ECS 实例账号是否异常。
Linux 实例
执行命令 last 或者 /var/log/secure 查看 ECS 实例近期登录记录。
执行命令 vi /etc/passwd 查看是否有异常账户,有的话执行命令 usermod -L 用
户名 禁用用户或者执行命令 userdel -r 用户名 删除用户。
2 查看 ECS 实例是否有异地登录情况,如有则修改密码为强密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
3 查看 Web 服务是否有漏洞,如 struts, ElasticSearch 等,如有则请升级。您也可以登录 云盾安全防护功能 检测 Web 服务是否有漏洞。
4 检查 ECS 实例内部账户密码是否过于简单,例如,MySQL 账户,SQL Server 账户,FTP 账户,Web 管理后台帐号,或者其他密码,并将简单密码重置为复杂密码,以 10 位及其以上的大小写字母、数字以及特殊符号组成。
5 按照对应第三方软件官网指示修复。
————————————————
版权声明:本文为CSDN博主「Lincyou」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_44221613/article/details/89852879