减少服务器被入侵
排查方向
1、日志
查看/var/log下的日志,如果发现有大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,这就符合暴力P解特征
2、系统分析
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况。
发现/root/.bash_history内历史记录已经被清除,其他无异常。
3、进程分析
对当前活动进程、网络连接、启动项、计划任务等进行排查。
4、文件系统
查看系统关键的文件是否被修改等。
5、后门排查
使用入侵检测工具扫描系统是否存在后门漏洞。
加固建议
1、 禁用不必要启动的服务与定时任务。
2、 如非必要禁止SSH端口对外网开放,或者修改SSH默认端口并限制允许访问IP。
3、定期更换服务器账号、密码和端口,密码应该包含大小写字母、数字和特殊符号。