感染此病毒后,我正准备安装一个新的 ubuntu 服务器https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu。
安装新的 VPS 时,我将安装 clamav 并遵循以下保护提示:https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/
这些是否足够,或者是否有任何其他针对这种病毒的一般性或专门的提示可以应用于新的 VPS?
谢谢
答案1
如果你真的被入侵了,最重要的事情就是进行全面的根本原因分析。请参阅有关此主题的典型问题:我该如何处理受到感染的服务器? 查看每个系统的哪些流程和技术控制失败了。这会很耗时,但值得,因为这样可以避免再次犯下这些错误。
一旦您吸取了教训,那么从一个干净的已知良好的操作系统进行重建是一个合理的做法。
- 定期更新您的软件、操作系统和应用程序。
- 仅安装来自您信任的来源的软件。请注意,您的软件供应链可能容易受到开发人员薄弱的 opsec 的攻击。
- 仅授予您信任的用户 shell。
- 使用 ssh 密钥并完全禁用密码。
- 注意上次登录的时间,这些登录时间不是您或您的团队的登录时间,或者超出您的典型 IP 空间的登录时间。
- 监控资源利用率,100% CPU 是不好的。
等等。安全还有很多事情要做,但卫生问题是其中很重要的一部分。
EuroVPS 的一些建议是有缺陷的。
应启用 IPv6。
- 最好采取适当的控制措施而不是忽视 v6,因为它不会消失。
- 攻击者不可能像 v4 那样扫描整个地址空间。他们必须像其他人一样找到您的 DNS。
- 谷歌全球流量的 30% 是 IPv6
- 在许多网络中,IPv6 比 v4 更快
字母数字特殊的密码复杂性已经过时。NIST 800-63B表示允许使用非常长的密码,不允许使用字典单词和以前的违规语料库,但不施加字母数字特殊要求。后者很容易被计算机破解,但很难被人类记住。
我看不出更改 ssh 端口有什么意义。您可以避免一些暴力扫描噪音。但如果您保护好 ssh 密钥、不使用密码并在防火墙处禁止行为不当的 IP,这并不重要。