1、使用 last 命令查看下服務器近期登錄的賬戶記錄,確認是否有可疑IP登錄過機器;
* 檢查說明:攻擊者或者惡意軟件往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊
* 解決方法:檢查發現有可疑用戶時,可使用命令“usermod -L 用戶名”禁用用戶或者使用命令“userdel -r 用戶名”刪除用戶。
* 風險性:高
* 檢查說明:攻擊者或者惡意軟件往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊
* 解決方法: 使用命令“usermod -L 用戶名”禁用用戶或者使用命令“userdel -r 用戶名”刪除用戶。
* 風險性:高
3、檢查系統是否採用默認管理端口*檢查系統所用的管理端口(SSH、FTP、MySQL、Reids等)是否爲默認端口,這些默認端口往往被容易自動化的工具進行爆破成功
*解決方法:
1)、在服務器內編輯 /etc/ssh/sshd_config 文件中的 Port 22 將 22 修改爲非默認端口,修改之後需要重啓 ssh 服務;
2)、運行 /etc/init.d/sshd restart 命令重啓是配置生效;
3)、修改FTP、MySQL、Reids等的程序配置文件的默認監聽端口21、3306、6379爲其他端口;
4)、限制遠程登錄的IP,編輯/etc/hosts.deny 、/etc/hosts.allow 兩個文件來限制IP
* 風險性:高* 檢查說明:攻擊者或者惡意軟件往往會往系統中注入隱藏的系統賬戶實施提權或其他破壞性的攻擊
* 解決方法: 使用命令“usermod -L 用戶名”禁用用戶或者使用命令“userdel -r 用戶名”刪除用戶。
* 風險性:中*檢查服務器是否存在惡意進程,惡意進程往往會開啓監聽端口,與外部控制機器進行連接
*解決方法:
1)若發先有非授權進程,運行ls -l /proc/$PID/exe或file /proc/$PID/exe ($PID爲對應的pid號) ,查看下pid所對應的進程文件路徑
2)如果爲惡意進程,刪除下對應的文件即可。
*風險性:高*檢查說明:運行以上命令,當發現有名稱不斷變化的非授權進程佔用大量系統CPU或內存資源時,則可能爲惡意程序
*解決方法:確認該進程爲惡意進程後,可以使用 “kill -9 進程名”命令結束進程,或使用防火牆限制進程外聯
*風險性:高*檢查說明:惡意程序往往會添加在系統的啓動項,在用戶關機重啓後再次運行
*解決方法:如發現有惡意進程,可使用 “chkconfig 服務名 off” 命令關閉,同時檢查 /etc/rc.local 中是否有異常項目,如有請註釋掉。
*風險性:高
8、進入cron文件目錄,查看是否存在非法定時任務腳本*檢查說明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可以腳本或程序
*解決方法:如發現有不認識的計劃任務,可定位腳本確認是否正常業務腳本,如果非業務腳本呢,可直接註釋掉任務內容或刪除腳本。
*風險性:高