危险因素有哪些?
-
密码暴力破解,或是ssh或是数据库
-
用户上传文件所在目录权限过高,自动解析,开始一顿操作,给黑客登录打开了门
-
安装软件的时候在不明地址下载的依赖,里面集成了病毒,你事先并不知道
-
数据库打开了远程访问(有些公司必须打开,因为有需求)
-
rm -rf \
主机被入侵,它会干什么?
-
挖矿
-
疯狂发包影响你主机正常工作
-
获取你的数据
-
假若这台主机公钥在其他主机集群上,它会干什么坏事?
-
玩你,“到此一游的那种”
解决异常突发问题
异常登陆?
资源使用异常?
使用内存前10
ps aux | sort -k4nr | head -n 10
使用cpu前10
ps aux | sort -k3nr | head -n 10
批量杀死?(灵活运用哦)
command |awk '{print $2}' |xargs kill -9
流量进出
查看流量进出
iftop
查看进程出入流量必杀器
nethogs
解决病毒挖矿程序
思路
- 病毒的处理:找出占用资源较多的程序,看是cpu占得多还是内存还是进出流量,先删掉病毒文件,及产生的目录,再把病毒进程批量杀死,云主机的话,强迫症可以直接初始化磁盘回炉再造
- 现在已经把病毒文件全部删除了,但是过一天或者一周,会不会病毒重启?定时任务?
定时任务检查
crontab -l
at
- 注意:linux上定时任务有两个,一个是 crontab 一个是at at命令看这里
[root@10-254-182-240 ~]# at -t "201805041820"
at> \rm -f 888
at> <EOT>
job 2 at Fri May 4 18:20:00 2018
at的进程
[root@10-254-182-240 ~]# ps -ef |grep atd
root 2982 1 0 May04 ? 00:00:00 /usr/sbin/atd -f
怎么预防?
备份
- 数据库全备,增备
- 配置文件备份
- 定时任务备份
- 历史命令及时清除及秒级备份转移到备份机以供日后排查问题
- 登录日志备份
禁止 rm
你懂得
阿里云快照
这不是广告
监控报警
针对公司项目,危险区域针对性制定监控报警 新时代的运维都是要会监控报警的运维
目录权限
目录权限不要给的太高
登录控制
尽量不要ssh直接root登录,好歹搞成密钥文件登录的,或者限制ip,注意保存好密钥文件