解決阿里云服務(wù)器ECS遭到攻擊方法：GET和攻擊類型 SSH暴力破解

有些人總是喜歡在休假的時候進(jìn)行搞事,勞動節(jié)好不容易休息,服務(wù)器遭到黑客攻擊,排查,提高防御措施

一 攻擊方法:GET

方法:修改nginx配置

# vim nginx.conf

二 攻擊類型:SSH暴力破解

方法:直接設(shè)置安全組,修改ssh默認(rèn)端口,限制ip訪問ssh端口(設(shè)置白名單),再改防火墻.

注意兩個電腦在使用同一WiFi的情況下,連接服務(wù)器,所查看到的ip是一樣的.

測試是否配置成功:手機(jī)開熱點(diǎn),一臺電腦連接手機(jī),再去登錄,若不可以登錄,證明配置成功

安全管控設(shè)置白名單

其他排查:

1 查看本機(jī)的計劃任務(wù),將異常的定時任務(wù)刪除

根據(jù)阿里云安全中心提示的進(jìn)程異常-訪問惡意下載源進(jìn)行排查

2 查殺異常遠(yuǎn)程登錄

使用last進(jìn)行查看最近的遠(yuǎn)程登錄人員,

3 通過進(jìn)程號找到異常文件位置

1)top查看異常進(jìn)程

2)文件的文件名與相關(guān)屬性并列出所有文件詳細(xì)的權(quán)限與屬性

ls -al /proc/pid(父進(jìn)程id)

Linux 常見木馬清理命令：

chattr -i /usr/bin/.sshd

rm -f /usr/bin/.sshd

rm -f -r /usr/bin/bsd-port

rm -r -f /root/.ssh

rm -r -f /usr/bin/bsd-port

cp /usr/bin/dpkgd/ps /bin/ps

cp /usr/bin/dpkgd/netstat /bin/netstat

cp /usr/bin/dpkgd/lsof /usr/sbin/lsof

cp /usr/bin/dpkgd/ss /usr/sbin/ss

find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9

排查 ECS 實(shí)例漏洞

1 查看 ECS 實(shí)例賬號是否異常。

Linux 實(shí)例

執(zhí)行命令 last 或者 /var/log/secure 查看 ECS 實(shí)例近期登錄記錄。

執(zhí)行命令 vi /etc/passwd 查看是否有異常賬戶，有的話執(zhí)行命令 usermod -L 用

戶名 禁用用戶或者執(zhí)行命令 userdel -r 用戶名 刪除用戶。

2 查看 ECS 實(shí)例是否有異地登錄情況，如有則修改密碼為強(qiáng)密碼，以 10 位及其以上的大小寫字母、數(shù)字以及特殊符號組成。

3 查看 Web 服務(wù)是否有漏洞，如 struts, ElasticSearch 等，如有則請升級。您也可以登錄 云盾安全防護(hù)功能 檢測 Web 服務(wù)是否有漏洞。

4 檢查 ECS 實(shí)例內(nèi)部賬戶密碼是否過于簡單，例如，MySQL 賬戶，SQL Server 賬戶，F(xiàn)TP 賬戶，Web 管理后臺帳號，或者其他密碼，并將簡單密碼重置為復(fù)雜密碼，以 10 位及其以上的大小寫字母、數(shù)字以及特殊符號組成。

5 按照對應(yīng)第三方軟件官網(wǎng)指示修復(fù)。