我收到一封来自 ISP 的电子邮件,称我的服务器多次尝试通过 ssh 访问另一台服务器。我在孔机上进行了多次扫描,但没有发现任何结果。
知道如何删除恶意软件并确定如何解决安全问题吗?
作为 IT 安全专家,对受感染机器的任何安全风险的正确响应是:禁用受影响的系统(完全关闭它们,或者如果您打算剖析系统并立即将它们与网络断开并隔离它们)缺口),然后用核武器将其从轨道上炸毁以清理它。将其清理干净,将重要内容从干净的备份恢复到干净的操作的新重新安装。
完成后,您需要确保该系统上的所有应用程序都需要得到强化和锁定。如果您正在运行 Wordpress 等 Web 应用程序,您可能需要始终定期对其进行修补。向您的系统添加fail2ban解决方案并为您的各种应用程序启用该解决方案将有所帮助,这样当事件触发时,由于持续的攻击尝试,它们会在防火墙处被阻止一段时间。
(适当强化您的系统和应用程序是一件非常广泛的事情,对于这篇文章来说太大了,并且始终是个案分析/风险基础/成本回报分析,因此我们无法真正为您提供最佳方法适当地硬化一切。)
如果您确实想剖析发生了什么,请net-tools在受影响的计算机上安装,然后断开其与网络的连接。
sudo apt install net-tools
完成后,运行sudo netstat -atupen并查找系统上端口 22 的出站连接,并查看哪个进程正在触发端口 22 出站连接。如果您需要确保它显示,请密切关注并运行它多次,因为如果没有网络,它可能会尝试并立即失败,因此可能需要运行几次。
但是,您最好删除系统上的所有内容并从头开始重建,并更好地备份不会被恶意软件感染的信息。
另外,除非您知道自己在做什么,否则您不应该在自己的网络上托管服务器等,因为存在此类问题 - 即使家庭网络上的一个系统被弹出,您自己的系统也可能会受到破坏。
为了正确看待我的最后一点:
即使根据我的经验,我的网络上运行面向互联网的所有服务器都经过强化,以防止其他服务器访问它们,并且我的网络被构建为企业级类型网络,配有托管防火墙、托管交换机等,这意味着我的互联网面向的服务器被隔离到各自的 DMZ 中,无法到达存在更关键数据的网络的其余部分。这种规模的网络隔离和强化需要的远远超出了您可以获得的“住宅”和“消费”级设备的水平,它需要大量额外的时间、精力和知识来真正隔离面向的互联网系统以防止更大的违规行为,以及获取不同网络行为的网络流量日志记录,以及过滤活动情报列表以阻止已知的邪恶行为。它不适合胆小的人,并且也需要付出很多努力才能保持其运行。
由于未正确修补 Wordpress 实例,我在 DMZ 中为客户端运行的两台服务器最近被弹出。幸运的是,我为它们保留了备份,因此我们对被破坏的实例进行了核攻击,从干净的备份中恢复,然后我立即花了六个小时在每台机器上修补它们并重新强化它们。每台服务器上都有一个未打补丁的 Wordpress 实例导致这些服务器被破坏并试图分发恶意软件,我的 IDS/IPS 检测到了这一点 - 这又是企业级网络设置,因此我有时间、基础设施和资金投入将所有的保护措施都纳入其中。您的普通服务器或住宅网络设置中不会有此功能。
| 归档时间: |
|
| 查看次数: |
1511 次 |
| 最近记录: |