除了我作为技术支持专家的日常工作外,我还运营一个共享网络托管环境,并为此运行多台服务器。我运行一个 LAMP 环境。
从今天东部时间凌晨 4 点开始,我的防火墙就提醒我,我的服务器上正在执行大量端口扫描。当扫描没有停止时,我降低了允许的端口扫描数量,然后在一定时间内完全阻止 IP 地址 - 并且我延长了时间限制(从 3600 秒增加到 6900 秒)。
扫描不断出现 - 我的防火墙不断阻止 IP 地址。现在,我开始考虑阻止大约 3 或 4 个不同的 B 类子网。
我还记得我安装了 Telnet,因为它没有做任何有用的事情,所以我继续删除它。大约一周前,我已经安装了所有安全更新,尽管我确实有一些软件包有一些未完成的非安全更新可用。
我应该有多担心这个人会跟进这些端口扫描并试图发起攻击?你会建议我彻底阻止这些 B 类子网吗?
编辑:当然,我应该提到,我现在正在密切关注我的日志。
答案1
你在公共互联网上有一个服务器。它是去扫描一下是将遭受暴力攻击、拒绝服务等。
您所能做的就是确保尽职尽责,并确保您的服务器得到充分保护。以下是一些想法:
- 关闭 SSH 密码验证以代替 PKI 验证
- 使用 iptables 过滤入口和出口流量,只保留你特别需要的内容
- 确保你正在监听的所有应用程序都已安装最新的安全补丁
- 如果你开发自己的应用程序,当然没有任何 SQL 注入漏洞
- 将日志发送到另一台机器——如果发生安全漏洞,这对于取证分析至关重要