我收到 ISP 发来的电子邮件,说我的服务器多次尝试通过 ssh 访问另一台服务器。我对整台机器进行了多次扫描,但一无所获。
我知道该如何删除恶意软件并确定如何解决安全问题。
答案1
作为 IT 安全专家,对任何受感染机器的安全风险的正确响应是:禁用受影响的系统(如果您打算剖析系统和漏洞,请完全关闭它们,或立即将它们与网络断开连接并隔离它们),然后从轨道上对其进行核查以清理它。将其清理干净,将重要内容从干净的备份恢复到干净的操作系统的新重新安装。
完成此操作后,您需要确保此系统上的所有应用程序都需要强化和锁定。如果您正在运行 Wordpress 等 Web 应用程序,则可能需要始终定期对其进行修补。向fail2ban您的系统添加解决方案并为您的各种应用程序启用它将有助于当事情触发时,它们会由于持续的攻击尝试而被防火墙阻止一段时间。
(适当强化您的系统和应用程序是一件非常广泛的事情,对于这篇文章来说太大了,并且总是逐案分析/风险/成本回报分析的基础,所以我们无法真正给你正确强化一切的最佳方法。)
如果你真的想要分析发生了什么,请net-tools在受影响的机器上安装,然后断开其与网络的连接。
sudo apt install net-tools
完成后,运行sudo netstat -atupen并查找系统上任何出站到端口 22 的连接,并查看哪个进程触发了端口 22 的出站连接。同样要注意这一点,如果需要确保它出现,也要多次运行它,因为没有网络它可能会尝试并立即失败,所以可能需要运行几次。
然而,你最好删除系统上的所有内容并从头开始重建并对不会受到恶意软件感染的信息进行更好的备份。
此外,除非您知道自己在做什么,否则您不应该在自己的网络上托管服务器等,因为存在这些问题 - 如果您的家庭网络上的一个系统出现问题,您自己的系统也可能会受到破坏。
最后再说一下我的观点:
即使以我的经验,我网络上所有面向互联网的服务器都经过了强化,以防止其他服务器访问它们,而且我的网络是作为企业级网络构建的,配有托管防火墙、托管交换机等。这意味着我的面向互联网的服务器被隔离到各自的 DMZ 中,无法访问包含更多关键数据的其余网络。这种规模的网络隔离和强化需要的远远超过您在“住宅”和“消费者”级设备上可以获得的,它需要大量额外的时间、精力和知识来真正隔离面向互联网的系统以防止更大规模的入侵,以及获取不同网络行为的网络流量日志记录,以及过滤活动情报列表以阻止已知邪恶。它不适合胆小的人,并且需要大量努力才能保持其正常运行。
我为客户在 DMZ 中运行的两台服务器最近由于 Wordpress 实例补丁不正确而出现故障。幸运的是,我为它们保留了备份,所以我们删除了被破坏的实例,从干净的备份中恢复,然后我花了六个小时在每台机器上修补它们并重新加固它们。每台服务器上的一个未修补的 Wordpress 实例导致这些服务器被破坏并试图传播恶意软件,我的 IDS/IPS 检测到了这些恶意软件 - 再次说明,这是一个企业级网络设置,所以我有时间、基础设施和资金来投入所有保护措施。在普通服务器或住宅网络设置上不会出现这种情况。