此前从未了解过关于网络安全相关方面的内容,仅仅知道安全性是软件必不可少的质量属性之一,而由于自己所做项目对安全性需求基本为无,所以很少对此进行关注。今天看到作者系统被入侵的经验,于是点开来读,以积累他人的经验,对此进行防范。
他们的服务器于某日早上发现被阿里云冻结,理由是:对外恶意发包,默认的22端口被封掉,通过其它端口直接连了上去,登录名为root,不足8位的小白密码,显然被黑了。
服务器所装的系统是CentOS 6.X,部署了nginx,tomcat,redis等,为减少损失,先把数据库全部备份到了本地,使用top命令查看发现有2个99%的同名进程正在运行:gpg-agentd。
Google 结果表明GPG 提供的 gpg-agent 提供对 SSH 协议的支持,是一个很正常的进程。然而服务器上运行的程序叫gpg-agentd,多了一个d,真是不错的伪装。找到可以程序之后,还有两个疑问是,文件是怎们传上来的?这个文件的目的又是什么?
在history中,历史记录全被清空,使用more messages命令来看,发现在半夜12点的时候,服务器上装了许多软件。crontab -e在计划任务中,找到了一些线索。在计划任务中,每隔15分钟都去下载一个脚本并执行达到黑客想要的目的。
通过这次经验,我认识到了服务器安全防护的重要,千万不要抱有侥幸心理。对服务器的安全建议有:
- 禁用ROOT用户
- 密码尽量复杂
- 修改ssh默认的22端口
- 安装DenyHosts防暴力破解软件
- 禁用密码登录,使用RSA公钥