如何保护 Apache(在 LAMP 中)安装免受 Apache Linux/Cdorked.A 后门的攻击?

如何保护 Apache(在 LAMP 中)安装免受 Apache Linux/Cdorked.A 后门的攻击?

正如标题所问,我该怎么做才能防止 Apache Linux/Cdorked.A 后门的感染?

答案1

检查您是否受到了威胁:

strings /path/to/httpd | egrep open_tty

如果 grep 返回任何行,则您已被入侵。

看起来破坏方式是通过暴力破解 ssh。因此,保护​​服务器的最佳做法是:禁用 root 帐户,使用 sudo,禁用任何拥有 /bin/bash 登录的用户,并强制使用好密码或根本不使用密码,并使用 ssh 密钥。

答案2

正如马塞尔所说,良好的密码策略在任何情况下都是必不可少的。

ssh 密钥是一个绝妙的主意,(并且)禁用 sshd 上的密码登录也很棒,但通常不切实际。

参见:ssh-copy-id(或者您可以手动完成)FWIW 我为几乎每个帐户设置了不同的密钥对。

还可以考虑使用像 rkhunter、chkrootkit 或其他一些 tripwire 类型的工具这样的检测软件。

最后运行监控工具,如 monit。(还有许多其他工具)

这些工具可以配置为对大多数文件进行校验,并对大小、权限、重新启动等的改变发出警报。

一些人迅速在 Google 上搜索了以下参考资料:

http://www.debian.org/devel/passwordlessssh

http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/

相关内容