这是一个创建于 4351 天前的主题,其中的信息可能已经有所发展或是发生改变。
hi,最近我管理的一台服务器被入侵了,造成的影响是:
1、这台服务器被黑客利用,干了非法的勾当,惊动了高层;
2、黑客将日志全删了,找不到入侵的时间和动作;
目前,我的压力非常大,存在相同漏洞的服务器还有50台,有没有运维的兄弟说说今后如何加固这台服务器,包括事前防范和事后追踪这两个方面来谈。
我想到的有:
一、事前防范
如何防止暴力破解
二、事后追踪
如何保证日志不被删除
1、这台服务器被黑客利用,干了非法的勾当,惊动了高层;
2、黑客将日志全删了,找不到入侵的时间和动作;
目前,我的压力非常大,存在相同漏洞的服务器还有50台,有没有运维的兄弟说说今后如何加固这台服务器,包括事前防范和事后追踪这两个方面来谈。
我想到的有:
一、事前防范
如何防止暴力破解
二、事后追踪
如何保证日志不被删除
 |
1
eric_q 2012-05-21 16:03:06 +08:00
只允许ssh-key登录禁止密码登录
禁止root用户 denyhost防暴破,定期分析日志 sshd只监听内网连接 |
 |
2
ratazzi 2012-05-21 16:07:16 +08:00
fail2ban 可以针对 ftp ssh 等服务暴力破解等自动生成 iptables 规则进行防范
|
 |
3
ioiioi OP 嗯,fail2ban是可以防一下,另外,假如不幸被攻破,黑客利用root权限进行非法操作,我如何保证日志不被其删除?
|
 |
5
kfc315 2012-05-21 16:44:52 +08:00
日志定时传送到可信服务器。
|
 |
6
ri0day 2012-05-21 17:12:18 +08:00  1
1.所有服务或者程序分配一个账号来跑并设置成不能登录,就算你应用有问题通过应用入侵了也干不了事情。如果内部处理逻辑的程序只bind内网地址。有条件的话对服务做chroot
2.root不能远程登录。用户使用证书登录。 3.重要文件备份 4.iptables只开启要用的端口 5.监控日志。发现特定条件触发报警。 |
|
7
ioiioi OP hmm,这些服务器都是部署在客户处,可信服务器也只能部署在互联网上,如何保证日志的转发是安全的,不会被截获?
|
|
8
ri0day 2012-05-21 17:32:44 +08:00
你确定他删除了日志 就找不到证据么。。看看每个用户目录下的 .bash_history,以及 btmp ,utmp 这些文件。
|
 |
9
dndx 2012-05-21 17:56:34 +08:00
惊动了高层这句话把我震到了,敢问LZ是特殊部门?
|
 |
10
9hills 2012-05-21 18:35:26 +08:00
@ioiioi 那就是管理问题了。
首先有很多人有root权限么?root权限应该只给极少数的人。 其次日志要中心化存储,他要删只能删本地日志。日志是系统核心,一定要妥善管理。 把root密码设为随机数,统一用sudo,谁在那时提权一看便知。 最后,该报警就报警。 |
|
11
ioiioi OP |
 |
12
cyg07 2012-05-23 14:39:44 +08:00
你的LINUX提供了什么服务?
WEB还是其它的,是不是运行在ROOT权限下?如页面的执行权限。 更多的原因是服务运行在一个不应该运行的权限下导致的。 |
 |
13
clino 2012-05-23 15:02:55 +08:00
我刚在所有服务器上装了 denyhosts
另外,这个是不是楼主po的? http://www.sxsoft.com/index.php/proj/content/show/57428 linux下通过http post上传日志文件 |
Select Language