服务器的常见安全问题

一、真的被黑了?

确认问题

查看最近谁登录了服务器?

Bash
> last | more

vagrant  pts/0        172.16.156.37    Fri Jul  1 15:27   still logged in
vagrant pts/4        192.154.200.61   Mon May 18 12:39   still logged in
vagrant  pts/0        172.16.5.5       Fri May 13 15:18 - 16:00  (00:41)
vagrant  pts/0        172.16.5.5       Fri May 13 15:18 - 16:00  (00:41)

所有用户最近的一次登录时间

Bash
> lastlog

ssh用户登录日志

tail -f /var/log/secure

Google一下 ip地址来源即可,经常是一些非大陆的ip

二、真的被黑了!

排雷
先看看有没有留下什么后门

排查端口

Bash
> netstat -nl

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN     
tcp        0      0 0.0.0.0:1723            0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:48988         0.0.0.0:*               LISTEN     
tcp        0      0 127.0.0.1:52732         0.0.0.0:*               LISTEN

看看端口号是什么进程启动

> lsof -i :9000

COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
php-fpm 1132 root    7u  IPv4  11517      0t0  TCP localhost:cslistener (LISTEN)
php-fpm 1135  www    0u  IPv4  11517      0t0  TCP localhost:cslistener (LISTEN)

查看有无异常进程

>ps aux
>top

有没有新增异常用户

>cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
.
.
.
vagrant:x:500:500:vagrant:/home/vagrant:/bin/bash
www:x:501:501::/home/www:/bin/false

查看了root用户的命令历史记录,

>history

注意:某些命令要用root权限才可使用
其实任何记录都是可以被root用户清理的

修改root及我当前用户的用户名密码

Bash
> passwd

如果黑客正在线呢?

#踢掉在线终端
 > pkill -kill -t pts/4
# 监控登录日志
> tail -f /var/log/secure

封ip

>vi /etc/hosts.deny

ALL:110.164.67.47
ALL:222.89.166.12

禁止root ssh登录

> vi /etc/ssh/sshd_config
#把PermitRootLogin 属性 yes 改为 no
PermitRootLogin no

三、嘿嘿嘿

如何预防

  • 禁止 root 登录,每次用普通账号登录,然后切换到root
  • 禁止密码登陆, 然后指定一台机器公钥和私钥的方式进行登陆(推荐!弊端是这台机器被攻击了就完蛋了,并且要)
  • 指定白名单ip
  • 设置用户名密码一定要大小写字母数字及一些特殊符号的组合,增加暴力破解的难度,有可能的话可以定期更换密码。
  • 为了避免骇客扫描已知服务器程序端口漏洞,修改服务程序的默认端口好,比如ssh服务不使用22端口
  • 设置 iptables 开启一些通用的防火墙规则
  • 局域网访问,禁止外网
  • 配置每次登录,自动发送email,注意被邮箱服务器列到垃圾邮件中,设置非垃圾邮件!
  • fail2ban第三方监控软件
  • 备份数据!!!

四、白天不懂夜的黑

Web 入口安全

  1. 数据通道安全
    • http协议下的网络连接都是基于明文的
    • https
      解决了点到点的安全问题和身份认证问题,
      需要购买,找官方机构,测试访问速度怎样
    • AES 加密
  1. 浏览器安全
    2.1 同源策略

    • 什么是同源?
      相同的协议,相同的HOST,相同的端口

    • js只能访问当前源的资源
      通过AJAX请求的网络资源
      Cookie
      WebStorage,webSql

    • 跨域JSONP,CORS

    2.2 XSS
    跨站脚本攻击

    • 原理:恶意代码添加到网页中,并让受害者执行这段脚本。
    • 预防:
      代码转义 htlmspechalchars;
      html5 带来的CSP策略等
  1. http服务
    3.1 DDOS
    大量访问,耗尽服务器资源。

    • 配置nginx,Apache
      限制请求速度,
      限制连接数量,
      关闭慢连接,
      设置IP黑名单、白名单,
      使用缓存进行流量削峰
      屏蔽特定的请求

    • 海量服务器
      土豪玩法

  2. 不断完善

发表评论

电子邮件地址不会被公开。 必填项已用*标注