이 바이러스에 감염된 후 새 우분투 서버를 설치하려고 합니다.https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu.
새 VPS를 설치할 때 clamav를 설치하고 다음 보호 팁을 따르겠습니다.https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/
새로운 VPS에 적용해야 할 일반적인 또는 구체적으로 이 바이러스에 대한 다른 팁이 있습니까?
감사해요
답변1
실제로 침해를 당했다면 가장 중요한 일은 포괄적인 근본 원인 분석을 수행하는 것입니다. 이 주제에 대한 정식 질문을 참조하세요.손상된 서버를 어떻게 처리합니까? 모든 시스템에 대해 어떤 프로세스와 기술적 통제가 실패했는지 살펴보세요. 시간이 많이 걸리겠지만, 다시는 그런 실수를 저지르지 않는 것이 좋습니다.
교훈을 얻은 후에는 깨끗하고 알려진 양호한 운영 체제에서 재구축하는 것이 합리적인 일입니다.
- 소프트웨어를 정기적으로 업데이트하십시오. 운영 체제 및 응용 프로그램.
- 신뢰할 수 있는 출처의 소프트웨어만 설치하세요. 소프트웨어 공급망이 개발자의 취약한 Opsec에 취약할 수 있다는 점에 유의하세요.
- 쉘을 신뢰하는 사용자에게만 권한을 부여하십시오.
- SSH 키를 사용하고 비밀번호를 완전히 비활성화하세요.
- 귀하 또는 귀하의 팀이 아니었거나 일반적인 IP 공간을 벗어난 마지막 로그인 시간에 주의하십시오.
- 리소스 사용률을 모니터링합니다. CPU 100%는 불량입니다.
등등. 보안에는 더 많은 것이 있지만 이 위생 관련 사항이 그 중 큰 부분을 차지합니다.
EuroVPS의 조언 중 일부에는 결함이 있습니다.
IPv6를 활성화해야 합니다.
- v6은 사라지지 않기 때문에 무시하는 것보다 적절한 제어 장치를 마련하는 것이 더 좋습니다.
- 공격자가 v4와 같이 전체 주소 공간을 스캔하는 것은 불가능합니다. 그들은 다른 사람들처럼 귀하의 DNS를 찾아야 합니다.
- Google의 전 세계 트래픽 중 30%가 IPv6입니다.
- IPv6는 많은 네트워크에서 v4보다 빠릅니다.
영숫자 특수 문자의 비밀번호 복잡성은 더 이상 사용되지 않습니다.NIST 800-63B매우 긴 비밀번호를 허용하고 사전 단어 및 이전 위반 말뭉치를 허용하지 않지만 영숫자 특수 요구 사항을 부과하지 않는다고 말합니다. 후자는 컴퓨터가 해독하기 쉽지만 인간이 기억하기는 어렵습니다.
SSH 포트를 변경하는 요점이 표시되지 않습니다. 무차별 대입 스캔 소음을 피할 수 있습니다. 그러나 SSH 키를 보호하고, 비밀번호를 사용하지 않고, 방화벽에서 오작동하는 IP를 차단하는 것은 별 문제가 되지 않습니다.