自从设置了专用服务器后,我受到了许多病毒的攻击。其中一个病毒会占用我的带宽,另一个病毒目前正在向我的邮件服务器发出的所有邮件发送木马。
有没有办法设置服务器来防止这种情况发生?我安装了 ClamAV,并在 iptables 上阻止了 IP 地址。但这似乎还不够。
我只是想知道其他人在设置专用服务器时会做什么。
谢谢!
答案1
听起来你在谈论 rootkit、木马和蠕虫 - 而不是病毒(因为这似乎是 Linux 服务器而不是 MSWindows 机箱)。
ClamAV 是一款防病毒工具,虽然它确实可以检测其他类型的恶意软件,但其功能非常有限。事实上,除非您在服务器上运行 Samba(这是一件非常愚蠢的事情)或允许任何人上传文件(同样愚蠢),否则使用 ClamAV 毫无意义。
首先要清除服务器并从源媒体重新安装。然后按照常规步骤重新安装服务(即确保您没有从备份中安装相同的后门)。
我建议寻求一些有能力的帮助来强化服务器——让系统相对安全应该不会超过一天的时间(假设您已经确保从备份中恢复的所有内容都是安全的)。这部分将包括锁定任何远程管理访问权限,特别是通过 ssh。
您还应该定期备份和运行 rkhunter / chkrootkit。
答案2
首先调查你是如何感染病毒的,不知情的用户?应用程序?邮件?网络驱动器?
- 设置用户、密码和权限。有很多策略可以保护您的系统,但要保持简单,在有人需要之前关闭一切。
- 保留应用程序和用户所做操作的日志。
- 拥有应用程序和用户组合
- 不要使用服务器来查看邮件、聊天或玩游戏。不允许任何人使用它,只允许使用它的服务。
保持简单和干净。
现在我建议你格式化并从零开始设置服务器。根据我的经验,我发现小米 Windows 机器不需要防病毒软件,只要控制好你的服务器就行了。
你使用的是什么操作系统?
答案3
坏消息是:
- 运行公共服务器你需要知道你在做什么,了解您需要运行公共服务器(是的,您可以了解所需的内容,但您不会拥有相同的经验,只有理论背景 - 无论如何您都需要 - 注意:我并不是说您应该在没有理论知识的情况下运行公共服务器)
- 为了可靠地清理受感染的服务器,唯一能确保的方法是从头开始的完整安装
确保服务器安全的基本事项:
- 不允许通过未加密的通道进行远程登录(telnet)
- 不允许远程 root 登录(永不!)
- 不允许基于密码的登录
- 如果你不能不使用基于密码的登录,请务必使用强密码
- 默认情况下你的防火墙应该阻止所有传入和传出连接
- 根据实际需求授予访问权限(您是否真的想允许所有传出连接,或者只是允许与通过允许的端口进入的某些内容相关联的连接)
- 不要进行不良枚举(不要发送看起来可疑的日志文件行,而是发送与“已知良好”模式不匹配的日志文件行 - 有一个工具可以为您完成此操作:日志检查)
- 订阅您使用的软件包/发行版的安全列表,并在更新可用时立即安装
- 至少定期安装安全更新-- 每周(至少每月)!每 3 个月或每年安装一次是不够的(它可能会导致停机并且成本太高的说法不算数。如果您的服务如此有价值,您必须拥有冗余和测试环境,以便您始终可以一次关闭一台主机)
听起来很多,但所有这些实际上都非常适合编写脚本(假设是 Debian/Linux)。我很确定它也可以在其他操作系统上轻松完成,但我的主要环境是 Debian,所以我知道如何使用发行版本身提供的工具来完成它