本文主要是介绍服务器被入侵的教训,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
http://mp.weixin.qq.com/s?__biz=MzA4Nzc4MjI4MQ==&mid=401123258&idx=1&sn=2c375b090db14500c7b5cca3ae94fa31&scene=5&srcid=121187OieeQ1gfXyXFOYcbpl#rd
今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了
明显是被入侵做为肉鸡了
处理过程
(1)查看登陆的用户
通过 who 查看,当前只有自己
通过 last 查看,的确有不明ip登陆记录
(2)安装阿里云的安骑士
(3)修改ssh端口、登陆密码,限定指定IP登陆
(4)检查开机自启动程序,没有异常
(5)检查定时任务
发现问题,定时任务文件中有下面的内容
REDIS0006?crackitA?
ssh-rsa AAAAB3NzaC1y......bVMcIVHPyiP3/y/bliZ6JZC7jnZLk6kMvGw== root@localhost.localdomain
??B??.?)
可以看到是被设置ssh免密码登陆了,漏洞就是redis
检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis
删除定时任务文件中的那些内容,重启定时服务
(6)把阿里云中云盾的监控通知项全部选中,通知手机号改为最新的手机号
(7)配置iptables,严格限制各个端口
总结教训
根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础
从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式
对服务器的安全配置不重视,例如redis的安全配置很简陋、ssh一直用默认端口、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视
网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故
这个教训分享给向我一样系统安全意识不高的服务器管理者
这篇关于服务器被入侵的教训的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
