最近,我收到来自 Microsoft Azure 保障团队的电子邮件,说有人投诉我的部署(VM)存在恶意活动。
描述为:“SSH 暴力破解”。
现在,我甚至都不知道这意味着什么。有人利用我的虚拟机进行一些恶意活动,并对其进行暴力破解,或者用它来对其他地方进行暴力破解?
我很确定自上次更改密码以来没有人可以访问我的 Ubuntu Azure VM。
据说这一切可能会导致我的部署暂停。我不能承受这样的后果,因为这台机器是用来部署业务应用程序的。
所以我的问题是 - 我应该研究哪些保护方法,以防止发生上述事件?除了云(Azure)中 Linux VM 上的防火墙之外,我还应该使用什么?目前,端口 22 已关闭,直到我解决此问题为止。
谢谢。
答案1
现在,我甚至都不知道这意味着什么。有人利用我的虚拟机进行一些恶意活动,并对其进行暴力破解,或者用它来对其他地方进行暴力破解?
是的,您的主机实例是恶意攻击的来源。欢迎来到互联网!您已获得 root 权限,现在是垃圾邮件大炮。
我很确定自上次更改密码以来没有人可以访问我的 Ubuntu Azure VM。
祝福你。
据说这一切可能会导致我的部署暂停。我不能承受这样的后果,因为这台机器是用来部署业务应用程序的。
所以我的问题是 - 我应该研究哪些保护方法,以防止发生上述事件?除了云(Azure)中 Linux VM 上的防火墙之外,我还应该使用什么?目前,端口 22 已关闭,直到我解决此问题为止。
首先,该主机现在的可信度就如同撒哈拉沙漠中的冰桥一样。除了擦除它并从已知良好的备份中恢复之外,您没有其他合理的选择。
其次,您必须评估主机上的所有软件包和所有监听服务。必须根据运行的版本、版本的已知漏洞以及审核其权限来评估所有监听服务。假设任何监听通信的服务都可能被利用并提升权限。