网络时代,服务器和计算机不时地遭受入侵和攻击,给人们带来了无法预料的重大损失。诸如服务器入侵、数据盗窃和勒索软件等事件频繁发生,这令许多企业和游戏开发团队备受困扰。通过总结经验和吸取教训,我们必须汲取教益,认识到网络病毒和黑客无处不在,因此我们必须时刻保持警惕,采取积极预防措施,以确保服务器的稳定和安全。
排查方向
1、日志
查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力破解特征。
2、系统分析
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。
发现/root/.bash_history内历史记录已经被清除,其他无异常。
3、进程分析
对当前活动进程、网络连接、启动项、计划任务等进行排查。
4、文件系统
查看系统关键的文件是否被修改等。
5、后门排查
使用入侵检测工具扫描系统是否存在后门漏洞。
加固建议
1、 禁用不必要启动的服务与定时任务。
2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。
针对服务器入侵要注意以下几个方面
检查和监控
1、 服务器和网站漏洞检测,对Web漏洞、弱口令、潜在的恶意行为、违法信息等进行定期扫描。
2、代码的定期检查,安全检查,漏洞检查。
3、服务器安全加固,安全基线设置,安全基线检查。不断完善服务器系统的安全性能,及时更新系统补丁。
4、数据库执行的命令,添加字段、加索引等,必须是经过测试检查的命令,才能在正式环境运行。
5、服务器定期杀毒、查毒。比如安装火绒、360安全卫士等软件防护,更新病毒库为最新版本。
6、谨慎利用共享软件,共享软件和免费软件中往往藏有后门及陷阱,如果要使用,一定要彻查清楚。另外像浏览器、输入法这种常用的应用程序,建议去官网下载,更安全。
7、服务器可以设置禁止ping命令
8、定期查看分析系统事件安全日志,查看是否有黑客入侵,查到相关的可疑ip,进行限制ip访问。
德迅云安全服务器提供安全组-指定IP登陆服务器,或者使用德迅卫士-门神功能,二次验证登陆服务器能有效防止外部入侵。
数据备份
1、定期备份服务器文件数据。建议将数据备份到云盘或是网盘上,如果你只是备份到服务器某个磁盘中,勒索病毒也是会影响到备份文件的,没有意义。备份好后将网盘退出登录,网盘建议不要勾选记住密码。
2、定期检查备份文件是否可用,避免出故障后,备份数据不可用。
3、重要数据多重加密算法加密处理。
4、程序文件版本控制,测试,发布,故障回滚。
安全监控
1、实施文件和目录的控制权限。系统文件分配给管理员权限,网站内部文件可以分配匿名用户权限。
2、监控服务器常规状态CPU负载、内存、磁盘、流量,超过阈值告警。
3、监控服务器SSH登录记录、iptables状态、进程状态,有异常记录告警。
4、监控网站WEB日志(包括nginx日志php日志等)
5、除服务器内部监控外,最好使用第三方监控,从外部监控业务是否正常(监控URL、端口等),比如:德迅云眼(网站安全监测)
云监测是德迅云安全历经多年全新打造的一款对企事业单位业务系统(包括但不限于网站、小程序、API、APP)全生命周期、持续性、多维度监测的新一代云监测产品。通过结合德迅大数据平台及404实验室安全能力,为客户提供业务系统漏洞监测、可用性监测、SSL监测、安全事件监测、内容合规监测、业务系统资产发现等多项监测能力,帮助客户全面掌握业务系统风险态势。