このウイルスに感染した後、新しいUbuntuサーバーをインストールしようとしていますhttps://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu。
新しい VPS をインストールするときは、clamav をインストールし、次の保護のヒントに従います。https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/
それで十分でしょうか、それとも新しい VPS に適用すべき、このウイルス全般または特にこのウイルスに関する他のヒントはありますか?
ありがとう
答え1
実際に侵害を受けた場合、最も重要なことは、包括的な根本原因分析を行うことです。このトピックに関する標準的な質問を参照してください。侵害されたサーバーにはどのように対処すればよいですか? すべてのシステムについて、どのプロセスと技術的制御が失敗したかを確認します。これには時間がかかりますが、同じ間違いを繰り返さないために行う価値はあります。
教訓を学んだ後は、クリーンで正常なオペレーティング システムから再構築することが合理的な方法になります。
- ソフトウェアを定期的に更新してください。オペレーティング システムとアプリケーション。
- 信頼できるソースからのソフトウェアのみをインストールしてください。ソフトウェア サプライ チェーンは、開発者の弱い運用セキュリティの影響を受ける可能性があることに注意してください。
- 信頼できるユーザーのみにシェルを許可します。
- SSH キーを使用し、パスワードを完全に無効にします。
- あなたやあなたのチーム以外の人、または通常の IP 空間外の人による最終ログイン時間に注意してください。
- リソース使用率を監視します。CPU が 100% の場合は問題です。
などなど。セキュリティには他にもいろいろありますが、衛生面は大きな部分を占めています。
EuroVPS のアドバイスの一部には欠陥があります。
IPv6 を有効にする必要があります。
- v6 は消えることはないので、無視するよりも適切な制御を導入する方がよいでしょう。
- 攻撃者が v4 のようにアドレス空間全体をスキャンするのは不可能です。他のユーザーと同様に、攻撃者は DNS を見つける必要があります。
- Googleの全世界のトラフィックの30%はIPv6
- 多くのネットワークではIPv6はv4よりも高速です
英数字特殊文字のパスワードの複雑さは廃止されました。NIST 800-63B非常に長いパスワードを許可し、辞書に載っている単語や過去の侵害記録を禁止しますが、英数字の特別な要件は課しません。後者はコンピューターにとっては解読しやすいですが、人間にとっては覚えにくいものです。
SSH ポートを変更する意味がわかりません。ブルート フォース スキャンのノイズを回避することはできます。ただし、SSH キーを保護し、パスワードを使用せず、ファイアウォールで不正な IP を禁止すれば、それほど問題にはなりません。