云服务器被黑客攻击应急响应与加固指南(上)

一、入侵检测与应急处理

1. 异常行为检测

bash 复制代码
# 查看异常登录记录
sudo lastb | awk '{print $3}' | sort | uniq -c | sort -nr
sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c

# 检查可疑进程
ps auxf | grep -E '(curl|wget|bash|sh|\.\/)'
netstat -antulp | grep ESTABLISHED

2. 快速隔离措施

bash 复制代码
# 阻断可疑IP(示例IP:123.45.67.89)
sudo iptables -A INPUT -s 123.45.67.89 -j DROP

# 临时关闭SSH端口(生产环境慎用)
sudo ufw deny 22/tcp

3. 后门排查与清除

bash 复制代码
# 查找隐藏后门文件
find / -name "*.php" -mtime -3  # 查找最近3天修改的PHP文件
find / -type f -perm 0777       # 查找异常权限文件

# 检查定时任务
crontab -l
ls -al /etc/cron.*

二、系统安全加固

1. SSH安全配置

bash 复制代码
sudo vim /etc/ssh/sshd_config

# 修改关键配置项:
Port 5022                        # 修改默认端口
PermitRootLogin no               # 禁止root登录
MaxAuthTries 3                   # 最大尝试次数
PasswordAuthentication no        # 关闭密码认证

2. 防火墙强化配置

bash 复制代码
# 基础防火墙规则模板
sudo ufw default deny incoming
sudo ufw allow 5022/tcp          # SSH新端口
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

3. 自动化入侵防御

bash 复制代码
# 安装并配置fail2ban
sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

# 自定义SSH防护规则
sudo vim /etc/fail2ban/jail.d/sshd.local

[sshd]
enabled = true
port = 5022
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 1d
相关推荐
SkyWalking中文站1 小时前
认识 Horizon UI · 11/17:运行时规则与实时调试
运维·监控·自动化运维
Kyrie6781 小时前
SkillOpt:把 Agent 的技能文件当作可训练参数
人工智能
冬奇Lab2 小时前
Workflow 系列(07):工程化与版本管理——Workflow 的 CI/CD
人工智能·工作流引擎
两万五千个小时2 小时前
Claude Code 上下文管理(一):为什么 Agent 会"失忆"?
人工智能·架构·开源
两万五千个小时2 小时前
Claude Code 上下文管理(二):零 Token 消耗的压缩三板斧
人工智能·程序员·开源
冬奇Lab2 小时前
每日一个开源项目(第150篇):caveman - 为什么用很多 token,少 token 也行——给 AI Agent 装上穴居人嘴巴
人工智能·开源·资讯
贵慜_Derek2 小时前
MAI-04|干净数据在工程上意味着什么:MAI 预训练数据治理
人工智能·算法·llm
feelmylife592 小时前
Agent 记忆设计架构 — 分层记忆:什么时候该记住,什么时候该忘记
人工智能
阿黎梨梨2 小时前
揭秘大语言模型的底层逻辑:从文本分词到高维向量的计算之旅
javascript·人工智能
moMo2 小时前
AI工程化 03:给模型喂上下文
人工智能