奇淫巧技总结之安全篇

/ 奇淫巧技 / 没有评论 / 916浏览

危险因素有哪些?

  1. 密码暴力破解,或是ssh或是数据库

  2. 用户上传文件所在目录权限过高,自动解析,开始一顿操作,给黑客登录打开了门

  3. 安装软件的时候在不明地址下载的依赖,里面集成了病毒,你事先并不知道

  4. 数据库打开了远程访问(有些公司必须打开,因为有需求)

  5. rm -rf \

主机被入侵,它会干什么?

  1. 挖矿

  2. 疯狂发包影响你主机正常工作

  3. 获取你的数据

  4. 假若这台主机公钥在其他主机集群上,它会干什么坏事?

  5. 玩你,“到此一游的那种”

解决异常突发问题

异常登陆?

异常登陆解决

资源使用异常?

使用内存前10

ps aux | sort -k4nr | head -n 10

使用cpu前10

ps aux | sort -k3nr | head -n 10

批量杀死?(灵活运用哦)

command |awk '{print $2}' |xargs kill -9

流量进出

查看流量进出

iftop 

查看进程出入流量必杀器

nethogs

解决病毒挖矿程序

思路

  1. 病毒的处理:找出占用资源较多的程序,看是cpu占得多还是内存还是进出流量,先删掉病毒文件,及产生的目录,再把病毒进程批量杀死,云主机的话,强迫症可以直接初始化磁盘回炉再造
  2. 现在已经把病毒文件全部删除了,但是过一天或者一周,会不会病毒重启?定时任务?

定时任务检查

crontab -l 
at
[root@10-254-182-240 ~]# at -t "201805041820"
at> \rm -f 888
at> <EOT>
job 2 at Fri May  4 18:20:00 2018

at的进程

[root@10-254-182-240 ~]# ps -ef |grep atd
root      2982     1  0 May04 ?        00:00:00 /usr/sbin/atd -f

怎么预防?

备份

  1. 数据库全备,增备
  2. 配置文件备份
  3. 定时任务备份
  4. 历史命令及时清除及秒级备份转移到备份机以供日后排查问题
  5. 登录日志备份

禁止 rm

你懂得

阿里云快照

这不是广告

监控报警

针对公司项目,危险区域针对性制定监控报警 新时代的运维都是要会监控报警的运维

目录权限

目录权限不要给的太高

登录控制

尽量不要ssh直接root登录,好歹搞成密钥文件登录的,或者限制ip,注意保存好密钥文件

小可爱们来补充?