感染此病毒後我正準備安裝新的 ubuntu 伺服器https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu。
安裝新的 VPS 時,我將安裝 clamav 並遵循以下保護提示:https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/
這是否足夠,或者是否有任何其他一般或專門針對該病毒的提示,我應該將其應用到新的 VPS 上?
謝謝
答案1
如果您確實受到損害,最重要的是進行全面的根本原因分析。請參閱有關此主題的規範問題:如何處理受感染的伺服器? 查看每個系統的哪些流程和技術控制失敗了。這將非常耗時,但值得避免再犯這些錯誤。
一旦您吸取了教訓,是的,從乾淨的已知良好的作業系統進行重建是合理的事情。
- 定期更新您的軟體。作業系統和應用程式。
- 僅安裝來自您信任的來源的軟體。請注意,您的軟體供應鏈可能容易受到開發人員薄弱的操作安全性的影響。
- 僅向您信任的使用者授予 shell。
- 使用 ssh 金鑰並完全停用密碼。
- 請注意上次登入時間不是您或您的團隊的登入時間,或是在您的典型 IP 空間之外。
- 監控資源利用率,100% CPU 是壞的。
等等。安全問題還有很多,但衛生問題是其中很大一部分。
EuroVPS 的一些建議是有缺陷的。
應啟用 IPv6。
- 採取適當的控制措施比忽略 v6 更好,因為它不會消失。
- 攻擊者不可能像v4那樣掃描整個位址空間。他們必須像其他人一樣找到您的 DNS。
- Google 全球流量的 30% 來自 IPv6
- 在許多網路中 IPv6 比 v4 更快
特殊字母數字的密碼複雜度已過時。NIST 800-63B說允許很長的密碼,不允許字典單字和以前的違規語料庫,但不強加字母數字特殊要求。後者對於電腦來說很容易破解,但對人類來說卻很難記住。
我不認為更改 ssh 連接埠有什麼意義。您可以避免一些強力掃描噪音。但如果您保護 ssh 金鑰、不使用密碼並在防火牆上禁止行為不當的 IP,這並不重要。