正如标题所问,我该怎么做才能防止 Apache Linux/Cdorked.A 后门的感染?
答案1
检查您是否受到了威胁:
strings /path/to/httpd | egrep open_tty
如果 grep 返回任何行,则您已被入侵。
看起来破坏方式是通过暴力破解 ssh。因此,保护服务器的最佳做法是:禁用 root 帐户,使用 sudo,禁用任何拥有 /bin/bash 登录的用户,并强制使用好密码或根本不使用密码,并使用 ssh 密钥。
答案2
正如马塞尔所说,良好的密码策略在任何情况下都是必不可少的。
ssh 密钥是一个绝妙的主意,(并且)禁用 sshd 上的密码登录也很棒,但通常不切实际。
参见:ssh-copy-id(或者您可以手动完成)FWIW 我为几乎每个帐户设置了不同的密钥对。
还可以考虑使用像 rkhunter、chkrootkit 或其他一些 tripwire 类型的工具这样的检测软件。
最后运行监控工具,如 monit。(还有许多其他工具)
这些工具可以配置为对大多数文件进行校验,并对大小、权限、重新启动等的改变发出警报。
一些人迅速在 Google 上搜索了以下参考资料:
http://www.debian.org/devel/passwordlessssh
http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/