So vermeiden Sie den Crypto-Miner-Virus

Question

Sollten Sie tatsächlich kompromittiert sein, ist es am wichtigsten, eine umfassende Ursachenanalyse durchzuführen. Siehe die kanonische Frage zu diesem Thema:Wie gehe ich mit einem kompromittierten Server um? Schauen Sie sich an, welche Prozesse und technischen Kontrollen für jedes System fehlgeschlagen sind. Das ist zwar zeitaufwändig, lohnt sich aber, damit Sie diese Fehler nicht noch einmal machen.

Wenn Sie Ihre Lehren gezogen haben, ist die Neuinstallation auf der Grundlage eines sauberen, als funktionsfähig bekannten Betriebssystems durchaus sinnvoll.

Aktualisieren Sie Ihre Software regelmäßig. Betriebssystem und Anwendung.
Installieren Sie nur Software aus vertrauenswürdigen Quellen. Bedenken Sie, dass Ihre Softwarelieferkette aufgrund der schwachen Opsec der Entwickler anfällig sein kann.
Gewähren Sie Shells nur Benutzern, denen Sie vertrauen.
Verwenden Sie SSH-Schlüssel und deaktivieren Sie Passwörter vollständig.
Achten Sie auf die letzten Anmeldezeiten, bei denen weder Sie noch Ihr Team angemeldet waren oder die außerhalb Ihres typischen IP-Bereichs liegen.
Überwachen Sie die Ressourcenauslastung. 100 % CPU sind schlecht.

Und so weiter. Zur Sicherheit gehört noch mehr, aber dieser Hygienekram macht einen großen Teil davon aus.

Einige der Ratschläge von EuroVPS sind fehlerhaft.

IPv6 sollte aktiviert sein.
- Es ist besser, geeignete Kontrollen einzuführen, als Version 6 zu ignorieren, denn es wird nicht verschwinden.
- Für Angreifer ist es nicht möglich, den gesamten Adressraum wie bei v4 zu scannen. Sie müssen Ihren DNS wie jeder andere auch finden.
- 30 % des weltweiten Datenverkehrs von Google erfolgt über IPv6
- IPv6 ist in vielen Netzwerken schneller als v4
Die Passwortkomplexität mit speziellen alphanumerischen Zeichen ist veraltet.NIST 800-63Bsagt, dass sehr lange Passwörter erlaubt sind, Wörter aus dem Wörterbuch und frühere Sicherheitslücken nicht erlaubt sind, aber keine besonderen alphanumerischen Anforderungen gestellt werden. Letztere sind für Computer leicht zu knacken, für Menschen jedoch schwer zu merken.
Ich sehe keinen Sinn darin, den SSH-Port zu ändern. Sie können das tun, um einige der Brute-Force-Scan-Lärm zu vermeiden. Aber es spielt keine Rolle, wenn Sie Ihre SSH-Schlüssel sichern, keine Passwörter verwenden und fehlerhafte IPs an der Firewall sperren.

Answer 1

Sollten Sie tatsächlich kompromittiert sein, ist es am wichtigsten, eine umfassende Ursachenanalyse durchzuführen. Siehe die kanonische Frage zu diesem Thema:Wie gehe ich mit einem kompromittierten Server um? Schauen Sie sich an, welche Prozesse und technischen Kontrollen für jedes System fehlgeschlagen sind. Das ist zwar zeitaufwändig, lohnt sich aber, damit Sie diese Fehler nicht noch einmal machen.

Wenn Sie Ihre Lehren gezogen haben, ist die Neuinstallation auf der Grundlage eines sauberen, als funktionsfähig bekannten Betriebssystems durchaus sinnvoll.

Aktualisieren Sie Ihre Software regelmäßig. Betriebssystem und Anwendung.
Installieren Sie nur Software aus vertrauenswürdigen Quellen. Bedenken Sie, dass Ihre Softwarelieferkette aufgrund der schwachen Opsec der Entwickler anfällig sein kann.
Gewähren Sie Shells nur Benutzern, denen Sie vertrauen.
Verwenden Sie SSH-Schlüssel und deaktivieren Sie Passwörter vollständig.
Achten Sie auf die letzten Anmeldezeiten, bei denen weder Sie noch Ihr Team angemeldet waren oder die außerhalb Ihres typischen IP-Bereichs liegen.
Überwachen Sie die Ressourcenauslastung. 100 % CPU sind schlecht.

Und so weiter. Zur Sicherheit gehört noch mehr, aber dieser Hygienekram macht einen großen Teil davon aus.

Einige der Ratschläge von EuroVPS sind fehlerhaft.

IPv6 sollte aktiviert sein.
- Es ist besser, geeignete Kontrollen einzuführen, als Version 6 zu ignorieren, denn es wird nicht verschwinden.
- Für Angreifer ist es nicht möglich, den gesamten Adressraum wie bei v4 zu scannen. Sie müssen Ihren DNS wie jeder andere auch finden.
- 30 % des weltweiten Datenverkehrs von Google erfolgt über IPv6
- IPv6 ist in vielen Netzwerken schneller als v4
Die Passwortkomplexität mit speziellen alphanumerischen Zeichen ist veraltet.NIST 800-63Bsagt, dass sehr lange Passwörter erlaubt sind, Wörter aus dem Wörterbuch und frühere Sicherheitslücken nicht erlaubt sind, aber keine besonderen alphanumerischen Anforderungen gestellt werden. Letztere sind für Computer leicht zu knacken, für Menschen jedoch schwer zu merken.
Ich sehe keinen Sinn darin, den SSH-Port zu ändern. Sie können das tun, um einige der Brute-Force-Scan-Lärm zu vermeiden. Aber es spielt keine Rolle, wenn Sie Ihre SSH-Schlüssel sichern, keine Passwörter verwenden und fehlerhafte IPs an der Firewall sperren.

So vermeiden Sie den Crypto-Miner-Virus

Antwort1

verwandte Informationen