我收到一封來自 ISP 的電子郵件,表示我的伺服器多次嘗試透過 ssh 存取另一台伺服器。我在孔機上進行了多次掃描,但沒有發現任何結果。
知道如何刪除惡意軟體並確定如何解決安全問題嗎?
答案1
作為 IT 安全專家,對受感染電腦的任何安全風險的正確回應是:停用受影響的系統(完全關閉它們,或者如果您打算剖析系統和漏洞,則立即將它們與網路斷開並隔離),並將其從軌道上發射出去以進行清理。將其清理乾淨,將重要內容從乾淨的備份還原到乾淨的操作的新重新安裝。
完成後,您需要確保該系統上的所有應用程式都需要強化和鎖定。如果您正在運行 Wordpress 等 Web 應用程序,您可能需要始終定期對其進行修補。為您的系統添加fail2ban解決方案並為您的各種應用程式啟用該解決方案將有所幫助,以便當事情觸發時,由於持續的攻擊嘗試,它們會在防火牆處被阻止一段時間。
(適當強化您的系統和應用程式是一件非常廣泛的事情,對於這篇文章來說太大了,並且始終是個案分析/風險基礎/成本回報分析,因此我們無法真正為您提供最佳方法適當地硬化一切。
如果你真的想要剖析發生了什麼,請net-tools在受影響的電腦上安裝,然後斷開其與網路的連接。
sudo apt install net-tools
完成後,執行sudo netstat -atupen並尋找系統上連接埠 22 的出站連接,並查看哪個進程正在觸發連接埠 22 出站連接。如果您需要確保它顯示,請密切關注並運行它多次,因為如果沒有網絡,它可能會嘗試並立即失敗,因此可能需要運行幾次。
然而,你最好刪除系統上的所有內容並從頭開始重建並且更好地備份您的訊息,以免受到惡意軟體的感染。
另外,除非您知道自己在做什麼,否則您不應該在自己的網路上託管伺服器等,因為存在此類問題 - 即使家庭網路上的一個系統被彈出,您自己的系統也可能會受到破壞。
為了正確看待我的最後一點:
即使根據我的經驗,我的網絡上運行面向互聯網的所有伺服器都經過強化,以防止其他伺服器訪問它們,並且我的網絡被構建為企業級類型網絡,配有託管防火牆、託管交換機等,這意味著我的網路面向的伺服器被隔離到各自的 DMZ 中,無法到達存在更關鍵資料的網路的其餘部分。這種規模的網路隔離和強化需要的遠遠超過您可以獲得的「住宅」和「消費」級設備,它需要大量額外的時間、精力和知識來真正隔離面向的網路系統以防止更大的違規行為,以及取得不同網路行為的網路流量日誌記錄,以及過濾活動情報清單以阻止已知的邪惡行為。它不適合膽小的人,也需要付出很多努力才能保持運作。
由於未正確修補 Wordpress 實例,我在 DMZ 中為客戶端運行的兩台伺服器最近被彈出。幸運的是,我為它們保留了備份,因此我們對被破壞的實例進行了核攻擊,從乾淨的備份中恢復,然後我立即花了六個小時在每台機器上修補它們並重新強化它們。每台伺服器上都有一個未打補丁的Wordpress 實例導致這些伺服器被破壞並試圖分發惡意軟體,我的IDS/IPS 檢測到了這一點- 這又是企業級網路設置,因此我有時間、基礎設施和資金投入將所有的保護措施都納入其中。您的普通伺服器或住宅網路設定中不會有此功能。