高雅婷s
很多人覺得Linux很安全,不會被入侵,這是錯誤的認知。如果一臺Linux服務器不進行必要的安全加固,還是比較容易被人攻擊的。
而Linux服務器被挖礦,大多數是因為Redis開放了外網端口同時又沒有用戶密碼驗證導致提權造成的。
那如何解決和規避呢?我來詳細給大家講下:
1)、服務器被植入挖礦程序的解決方案
在 # top ,命令中查看CPU和MEN佔用率過高的進程有哪些,記下進程的PID;
通過 # ps -ef | grep 進程名或PID ,查看進程文件路徑。如果此文件路徑可疑(不是系統文件,同時也不是管理員創建的)請取消執行權限(取消X權限);
通過 # kill -9 進程PID ,殺死進程;
通過 # vi ~/.bash_history ,查看歷史命令記錄文件,看看是否存在可疑命令;
禁用可疑用戶和重新設置SSH密鑰;
如果服務器上的Redis端口外網可訪問,請在iptables裡取消Redis端口的外網訪問權限;
服務器上站點源碼掃描,看看是否被植入木馬;
必要時需要重做系統。
2)、服務器安全加固建議
如果裝了Redis,請記住只允許它本機訪問,不允許外網訪問!!!
嚴格控制服務器各端口的訪問權限;
禁止root用戶直接登錄,通過普通用戶su切換登錄。
網絡圈
從圖中可以看出miberd進程佔用利率高
因此可以按照以下的步驟來初步判斷
①kill掉這個進程,先觀察一段時間,一般情況下kill以後,隔一段時間基本進程會自啟動。
②如果方法①不行,程序會自啟動的話,就要去定時任務crontab -l 查看任務,一般情況是可以看到的,類似於下面這種
③刪除定時任務,並且用find命令查找對應的關鍵詞。找到進程所在的目錄,然後刪掉整個目錄就可以了。
上面辦法治標不治本,服務器安全工作可以按照以下情況來處理:
1.把所有軟件升級到新版本
2.修改所有軟件默認端口號
3.打開ssh/authorized_keys, 刪除不認識的密鑰
4.刪除用戶列表中陌生的帳號
5.SSH使用密鑰登錄並禁止口令登錄(這個一般是加運維一個人的秘鑰)
炒飯vb
備份數據,重新最小化安裝系統。嚴格定製防火牆策略!
中毒一般都是管理不嚴格!