服务器防止被入侵
服务器入侵这个名词相信大家应该都再熟悉不过了,有些黑客入侵服务器是为了盗取游戏版本贩卖给他人,有些是为了盗取游戏数据对服务器使用者进行敲诈勒索,更有些黑客直接是对服务器数据进行破坏性的操作,直接是将服务器数据直接删甚至格盘等操作。总而言之这些黑客入侵都是为了自己的私欲,对用户的财产安全、隐私安全等都带来了极大的风险和危害,所以服务器防入侵安全也是每个用户必须要提前预防以及避免的。 小蚁君对于关于防入侵的一些处理方式:
1.交付客户的时候,小蚁云安全团队默认修改了用户名以及远程端口;
2.系统优化,关闭了一些共享盘符;
3.防火墙策略,小蚁君可以根据客户提供的固定IPV4地址添加一条策略,除了此IP能够远程登陆以外,其余IP全部禁止登陆,实际效果如下:
a)首先是正常情况下,我们可以远程服务器, b)然后我们再防火墙上制定一个策略。即拦截远程桌面端口,此时可以发现端口不通,并且远程桌面断开 C)此时,我们再制定一个策略(制定固定IPV4地址),然后对此IP放行远程端口 d)此时我们再尝试下远程登陆,发现已经可以正常登陆,通过端口ping查询,端口也是通的 e)我们找一个不同的IP测试之后发现,除了指定的IP地址以外其余地址都无法远程登陆服务器。 由此可以制定一个相对严谨的远程桌面限制,由于客户程序本身的漏洞我们是无法查看到的,所以除此以策略外客户尽量避免程序本身的漏洞,当这两点都做到的时候,可以说,服务器被入侵的几率是几乎没有的!
排查的话,可以从以下几个方面入手:
1、日志 查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力破解特征。
2、系统分析 对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况 发现/root/.bash_history内历史记录已经被清除,其他无异常。
3、进程分析 对当前活动进程、网络连接、启动项、计划任务等进行排查
4、文件系统 查看系统关键的文件是否被修改等
5、后门排查 使用RKHunter扫描系统是否存在后门漏洞
加固建议 1) 禁用不必要启动的服务与定时任务 2) 修改所有系统用户密码,并满足密码复杂度要求:8位以上,包含大小写字母+数字+特殊符号组合; 3) 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP; 可以看一看这个针对系统的安全小妙招:14个Linux系统安全小妙招,总有一招用的上! Linux操作系统的安全合规性检查和加固: Linux 的安全合规性检查和加固 必备的安全设置:Linux 服务器必备的安全设置,建议收藏! 黑客常用的入侵手段,还是有必要去了解一下的。 黑客入侵 linux 系统常用手段,有你不知道的没? 当你了解完这些常用手段之后,可能还是远远不够的,假如有一天真的遇到攻击了,怎么办呢?再来给你们带来一个好办法: 服务器遭受攻击后,这样排查处理不背锅! 事前检查和监控 提前检查
- 服务器和网站漏洞检测,对Web漏洞、弱口令、潜在的恶意行为、违法信息等进行定期扫描。
- 代码的定期检查,安全检查,漏洞检查。
- 服务器安全加固,安全基线设置,安全基线检查。
- 数据库执行的命令,添加字段、加索引等,必须是经过测试检查的命令,才能在正式环境运行。
数据备份
- 服务器数据备份,包括网站程序文件备份,数据库文件备份、配置文件备份,如有资源最好每小时备份和异地备份。
- 建立五重备份机制:常规备份、自动同步、LVM快照、Azure备份、S3备份。
- 定期检查备份文件是否可用,避免出故障后,备份数据不可用。
- 重要数据多重加密算法加密处理。
- 程序文件版本控制,测试,发布,故障回滚。
安全监控
- nagios监控服务器常规状态CPU负载、内存、磁盘、流量,超过阈值告警。
- zabbix或cacti监控服务器常规状态CPU负载、内存、磁盘、流量等状态,可以显示历史曲线,方便排查问题。
- 监控服务器SSH登录记录、iptables状态、进程状态,有异常记录告警。
- 监控网站WEB日志(包括nginx日志php日志等),可以采用EKL来收集管理,有异常日志告警。
- 运维人员都要接收告警邮件和短信,至少所负责的业务告警邮件和短信必须接收,运维经理接收重要业务告警邮件和短信。(除非是专职运维开发)
- 除服务器内部监控外,最好使用第三方监控,从外部监控业务是否正常(监控URL、端口等)。