晚间看到服务器内存和cpu异常,上线发现被入侵了,
第一时间通过云控制台设置为白名单登录,切断对方的访问,
进入服务器通过top简单查看后发现异常进程,这时候莫慌,因为正常入侵后都会设置一些crontab之类的,来维持它的程序。
其实还挺有意思的,入侵者总喜欢起这种secu啊safe啊之类的和安全搭边的名字。清除后定时任务后,也清除了相应的脚本,杀死了异常进程,目录如下:
太大意了,服务器没有做简单的安全加固,密码也设置得有规律,这里简单得总结下入侵者的一般喜好:
1、入侵后建用户,留下认证密钥,后面免密登录
2、一般总伴随着crontab的一些定时任务
3、多喜欢用隐藏文件
基本的安全加固可以做以下几个方面:
1、密码复杂度
2、登录失败多次后策略
3、会话超时
4、audit审计策略
