高雅婷s
很多人觉得Linux很安全,不会被入侵,这是错误的认知。如果一台Linux服务器不进行必要的安全加固,还是比较容易被人攻击的。
而Linux服务器被挖矿,大多数是因为Redis开放了外网端口同时又没有用户密码验证导致提权造成的。
那如何解决和规避呢?我来详细给大家讲下:
1)、服务器被植入挖矿程序的解决方案
在 # top ,命令中查看CPU和MEN占用率过高的进程有哪些,记下进程的PID;
通过 # ps -ef | grep 进程名或PID ,查看进程文件路径。如果此文件路径可疑(不是系统文件,同时也不是管理员创建的)请取消执行权限(取消X权限);
通过 # kill -9 进程PID ,杀死进程;
通过 # vi ~/.bash_history ,查看历史命令记录文件,看看是否存在可疑命令;
禁用可疑用户和重新设置SSH密钥;
如果服务器上的Redis端口外网可访问,请在iptables里取消Redis端口的外网访问权限;
服务器上站点源码扫描,看看是否被植入木马;
必要时需要重做系统。
2)、服务器安全加固建议
如果装了Redis,请记住只允许它本机访问,不允许外网访问!!!
严格控制服务器各端口的访问权限;
禁止root用户直接登录,通过普通用户su切换登录。
网络圈
从图中可以看出miberd进程占用利率高
因此可以按照以下的步骤来初步判断
①kill掉这个进程,先观察一段时间,一般情况下kill以后,隔一段时间基本进程会自启动。
②如果方法①不行,程序会自启动的话,就要去定时任务crontab -l 查看任务,一般情况是可以看到的,类似于下面这种
③删除定时任务,并且用find命令查找对应的关键词。找到进程所在的目录,然后删掉整个目录就可以了。
上面办法治标不治本,服务器安全工作可以按照以下情况来处理:
1.把所有软件升级到新版本
2.修改所有软件默认端口号
3.打开ssh/authorized_keys, 删除不认识的密钥
4.删除用户列表中陌生的帐号
5.SSH使用密钥登录并禁止口令登录(这个一般是加运维一个人的秘钥)
炒饭vb
备份数据,重新最小化安装系统。严格定制防火墙策略!
中毒一般都是管理不严格!
