故障理
产品文档
权腾讯计责版所有:云算(北京)有限任公司
第1⻚共12
主机安全
权【版声明】
©2013-2019腾讯云版权所有
权归腾讯单经腾讯书许袭、传本文档著作
云独所有,未
云事先面可,任何主体不得以任何形式复制、修改、抄
播全
部或部分本文档内容。
标【商声明】 腾讯务标为腾讯计责联及其它云服相关的商均标,权的商依法由利人所有。
云算(北京)有限任公司及其关公司所有。
本文档涉及的第三方主体 务【服声明】 户绍腾讯产务时产务调本文档意在向客介 云全部或部分品、服的当 购买腾讯产务类、务标应腾讯间业约另约则,所的云品、服的种服准等由您与 腾讯对诺证。
云本文档内容不做任何明示或模式的承或保 的整体概况,部分品、服的内容可能有所整。
您云之的商合同定,除非双方有定,否 权腾讯计责版所有:云算(北京)有限任公司 第2⻚共12 处故障理 类问题查Linux入侵 排思路 类问题查Windows入侵 排思路 户线查Linux客端离排 户线查Windows客端离排 录文档目 主机安全 权腾讯计责版所有:云算(北京)有限任公司 第3⻚共12 主机安全 处故障理类问题查Linux入侵 排思路 时间:最近更新 2020-02-27 19:31:08 查深入分析,找入侵原因
一、检查隐藏帐户及弱口令 检查务统应帐户
1.服器系及用是否存在弱口令: 检查说检查员帐户、库帐户、帐户、帐户、员帐户码设明:管理 数据 MySQL tomcat 网站后台管理 等密置是 较为简单,简单码否 的密很容易被黑客破解。
员权录统应为杂码。
解决方法:以管理限登系或用程序后台,修改复的密 ⻛险性:高。
查务录帐户记录,认录过
2.使用last命令看下服器近期登的 确是否有可疑IP登机器: 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 检查发现户时,户户解决方法: 有可疑用 可使用命令usermod-L用名禁用用或者使用命令userdel-r用 户删户。
名除用 ⻛险性:高。
过查录
3.通less/var/log/secure|grep'epted'命令,看是否有可疑IP成功登机器: 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 户户户删户。
解决方法:使用命令usermod-L用名禁用用或者使用命令userdel-r用名除用 ⻛险性:高。
检查统认
4.系是否采用默管理端口: 检查统为认这认动系所用的管理端口(SSH、FTP、MySQL、Redis等)是否默端口,些默端口往往被容易自 进化的工具行爆破成功。
解决方法: 务编辑为认启a.在服器内务。
ssh服 /etc/ssh/sshd_config文件中的Port22,将22修改非默端口,修改之后需要重 对进时,时务对应组规则当端口行修改需同在云服器控制台上修改主机的安全配置,在其入站中,对应放行端口。
b.运行/etc/init.d/sshdrestart(CentOS)或/etc/init.d/sshrestart(Debian/Ubuntu)启命令重 是配置生效。
3.修改FTP、MySQL、Redis认监为等的程序配置文件的默听端口21、3306、6379其他端口。
权腾讯计责版所有:云算(北京)有限任公司 第4⻚共12 主机安全 远录,编辑两c.限制程登的IP /etc/hosts.deny、/etc/hosts.allow个文件来限制IP。
⻛险性:高。
检查权帐户录:
5. /etc/passwd文件,看是否有非授 登 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 户户户删户。
解决方法:使用命令usermod-L用名禁用用或者使用命令userdel-r用名除用 ⻛险性:中。
检查恶进
二、 意程及非法端口 运查务权监查对应
1.行stat–antlp看下服器是否有未被授的端口被听,看下的pid。
检查务恶进恶进启监进连服器是否存在意程,意程往往会开听端口,与外部控制机器行接。
解决方法: 发权进运为对应a.若先有非授程,行ls-l/proc/$PID/exe或file/proc/$PID/exe($PID 的pid 查对应进号),看下pid所的程文件路径。
为恶进删对应b.如果意程,除下的文件即可。
⻛险性:高。
查进
2.使用ps-ef和命令看是否有异常程 检查说运发现变权进统资时,则为明:行以上命令,当有名称不断化的非授程占用大量系CPU或内存源 可能 恶意程序。
认该进为恶进进结进墙进解决方法:确 程意程后,可以使用kill-9程名命令束程,或使用防火限制程外 联⻛。
险性:高。
三、检查恶意程序和可疑启动项 查启动项启动务。
1.使用chkconfig--list和cat/etc/rc.local命令看下开机 中是否有异常的服 检查说恶统启动项,户启运明:意程序往往会添加在系的 在用关机重后再次行。
发现恶进务闭,时检查解决方法:如有意程,可使用chkconfig服名off命令关同 /etc/rc.local 项请释有异常目,如有注掉。
⻛险性:高。
进录,查时务
2.入cron文件目 看是否存在非法定任脚本。
检查说查明: 中是否 看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly /是否存在可疑脚本或程序。
发现认识计务,认业务业务解决方法:如释务删掉任内容或⻛险性:高。
有不的除脚本。
划任 可定位脚本确是否正常 脚本,如果非正常 脚本,可直接注 检查软
四、第三方件漏洞 权腾讯计责版所有:云算(北京)有限任公司 第5⻚共12 主机安全 务运库应务,请应帐户对统权时
1.如果您服器内有行Web、数据等用服 帐户运root 行。
检查说帐户运应击远务减击损明:使用非root 行可以保障在 您限制用程序 文件系的写限,同尽量使用非 用程序被攻陷后攻者无法立即程控制服器,少攻 失 解决方法: 进务录库录a.入web服根目或数据配置目; 运访问权b.行chown-Rapache:apache/var/www/xxxx、chmod-R750file1.txt命令配置网站 限。
⻛险性:中。
参考示例 级应
2.升修复用程序漏洞检查说统应软较较导明:机器被入侵,部分原因是系使用的用程序件版本老,存在多的漏洞而没有修复,致可 以被入侵利用。
较户腾讯发解决方法:比典型的漏洞例如ImageMagick、openssl、glibc等,用导过进级通apt-get/yum等方式行直接升修复。
⻛险性:高。
可以根据 云已布安全通告指 录权网站目文件限的参考示例如下:场景:们设务运户户组户为录我假HTTP服器行的用和用骤:方法/步 是www,网站用 centos,网站根目是/home/centos/web。
1.们设录组为我首先定网站目和文件的所有者和所有centos,www,如下命令: chown-Rcentos:www/home/centos/web 设录权为户对录拥读执权设户
2.置网站目限750,750是centos用目有写行的限,置后,centos用可以在任何目录创户组读执权这样进录,户权下建文件,用有有行限,才能入目其它用没有任何限。
find-typed-execchmod750{}\; 设权为户对权务读权
3.置网站文件限640,640指只有centos用户权限,无法更改文件,其它用无任何限。
网站文件有更改的限,HTTP服器只有取文件的 find-not-typed-execchmod640{}\; 针对别录设权缓录给务权
4.个目置可写限。
例如,网站的一些存目就需要录须权的/data/目就必要写入限。
HTTP服有写入限、discuzx2 finddata-typed-execchmod770{}\; 权腾讯计责版所有:云算(北京)有限任公司 第6⻚共12 主机安全 优议被入侵后的安全化建 钥进录,减⻛险。
1.尽量使用SSH密行登 少暴力破解的 务编辑为认启
2.在服器内 /etc/ssh/sshd_config文件中的Port22,将22修改 务。
启服可使用命令重 其他非默 端口,修改之后重 SSH /etc/init.d/sshdrestart(CentOS)或/etc/init.d/sshrestart(Debian/Ubuntu) 时,时当修改端口需同在务云服器控制台对应组规则对应上修改主机安全配置,在其入站中放行端口。
须码进选择码。
3.如果必使用SSH密行管理,一个好密论应间远、远库,议设杂无用程序管理后台(网站、中件、tomcat等)、程SSH程桌面、数据都建置复且不样码。
一的密码实下面是一些好密的例(可以使用空格): 1qtwo-threeMiles3c45jia caser,lanqiustreets 词词:下面是一些弱口令的示例,可能是您在公开的工作中常用的或者是您生活中常用的 公司名+日期(coca-cola2016xxxx) 语(常用口Iamagoodboy)检查哪闭业务
4.使用以下命令主机有些端口开放,关非 端口。
netstat-anltp
5.通过腾讯云-安全组防火墙限制仅允许制定IP访问管理或通过编辑/etc/hosts.deny、/etc/hosts.allow两个 文件来限制IP。
应权
6.用程序尽量不使用root限。
权运例如Apache、Redis、MySQL、Nginx等程序,尽量不要以root限的方式行。
统权运权恶软过权获权传门。
7.修复系提漏洞与行在root限下的程序漏洞,以免意件通漏洞提得root限播后时统应及更新系或所用用程序的版本,如Struts2、Nginx,ImageMagick、Java等。
闭应远远闭对监关用程序的程管理功能,如Redis、NTP等,如果无程管理需要,可关外听端口或配置。
备务业务
8.定期份云服器数据。
对业务进备备重要的数据行异地份或云份,避免主机被入侵后无法恢复。
录还应备证录。
除了您的home,root目外,您当份/etc和可用于取的/var/log目 腾讯发击⻛险
9.安装云主机安全Agent,在生攻后,可以了解自身情况。
权腾讯计责版所有:云算(北京)有限任公司 第7⻚共12 主机安全 Windows入侵类问题排查思路 时间:最近更新 2021-08-26 14:37:21 导查本文档将指您如何排Windows入侵类问题。
查深入分析,找入侵原因
一.检查帐户和弱口令 查务统应帐户
1.看服器已有系或用是否存在弱口令。
检查说检查统员帐户、帐户、库帐户应明:主要系管理 网站后台 数据 以及其他用程序(FTP、Tomcat、 帐户phpMyAdmin等)是否存在弱口令。
说明:帐户码议设为组杂码码密建置大写、小写、特殊字符、数字成的12-16位的复密动杂码。
自生成复密 ,也可使用密生成器 检查实际认。
方法:根据情况自行确 ⻛险性:高。
查务统户创账户。
2.看下服器内是否有非系和用本身建的 检查说创账户账户户组显明:一般黑客建的异常 名会在本地用 示出来。
检查输查账员组方法:打开cmd窗口,入lusrmgr.msc命令,看是否有新增的号,如有管理群的 账户,请删(Administrators)里的新增 如有,立即禁用或除掉。
⻛险性:高。
检查隐账户
3.是否存在藏名。
检查说为检查,务创隐账户,隐账户户查明:黑客了逃避 往往会在您服器内建藏 藏在本地用内是看不到的。
检查过载检查隐账户):方法(您也可以通下LP_Check安全工具是否有藏 运键),输编辑a.在桌面打开行(可使用快捷Win+
R 入regedit,即可打开注册表器。
选择认查该选项键单选择权权b. HKEY_LOCAL_MACHINE/SAM/SAM,默无法看 内容,右菜 限,打开限管理 窗口。
选择户(为权选为闭编辑c.当前用一般administrator),将限勾完全控制,然后确定,关注册表器。
编辑选择d.再次打开注册表器,即可HKEY_LOCAL_MACHINE/SAM/SAM/Domains/ount/Users。
项实户现账户账户,为隐账户,认为统e.在Names下可以看到例所有用名,如出本地中没有的 即藏 在确非系 户删户。
用的前提下,可除此用 ⻛险性:高。
权腾讯计责版所有:云算(北京)有限任公司 第8⻚共12 主机安全
二.检查恶意进程和端口 检查恶进统运
1.是否存在意程在系后台行。
检查说击统运恶进进过联进明:攻者在入侵系后,往往会行意程与外部行通信,通分析外的程,即可以找出入 进侵的控制程。
检查方法: 录务选择【【运a.登服器, 开始】>行】。
输输查务权监b.入cmd,然后入stat–nao看下服器是否有未被授的端口被听。
务检查对应进对应进为进过查运c.打开任管理器, 的PID程号所的程是否正常程,例如通PID号看下行文件 删对应过软进查。
的路径,除路径文件,您也可以通微官方提供的ProcessExplorer工具行排 ⻛险性:高。
三.检查恶意程序及启动项
1.检查服务器内部是否有异常的启动项。
检查说击统恶启动项执明:攻者在入侵系后,往往会把意程序放到 中开机行。
检查方法: 录务选择【【启动】。
a.登服器, 开始】>【所有程序】> 认录录,认业务该录b.默情况下此目在是一个空目确是否有非程序在目下。
选择【【运输,查启动项则选c. 开始】>行】,入msconfig看是否存在命名异常的 目,若存在取消勾命名异 启动项显删常的 目,并到命令中示的路径除文件。
选择【【运输查启动项别d. 开始】>行】,入regedit,打开注册表,看开机 是否正常,特注意如下三个注册 项:表 HKEY_CURRENT_USER\software\micorsoft\windows\ersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查
侧启动项请删议杀软进查杀,注册表右是否有异常的目,如有除,并建安装毒件行病毒 清除残留病毒或 木⻢。
⻛险性:高。
2.查看正在连接的会话。
检查说检查务络务间话计务。
明:服器与网上的其它服器之的会或划任 检查方法: 录务选择【【运a.登服器, 开始】>行】。
输输,检查务络务间话,认为连b.入cmd,然后入stat-ano 服器与网上的其它服器之的会 输,检查务计务,认为计务。
接。
入schtasks 服器中的划任并确是否正常的划任 ⻛险性:中。
并确是否正常 权腾讯计责版所有:云算(北京)有限任公司 第9⻚共12 主机安全
四.检查软第三方件漏洞 务运对应软请对软进应权
1.如果您服器内有行外用件(WWW、FTP等),您件行配置,限制用程序的限,禁止目 录浏览权或文件写限。
腾讯应墙护,查应护击
2.开通云Web用防火防 看Web用防攻日志。
常⻅问题 统?如何恢复被入侵后的网站或系 统认统换,时统经变统,系确被入侵后,往往系文件会被更改和替此系已得不可信,最好的方法就是重新安装系同时给统补新系安装所有丁。
统如何防止网站或系被再次入侵? 变统账码为杂码
1.改所有系号的密复密(至少与入侵前不一致)。
认远
2.修改默程桌面端口,操作如下: 选择【【运输i. 开始】>行】,然后入regedit。
进ii.打开注册表,入如下路径:
iv.修改下右的PortNamber 腾讯组墙许访问远
3.配置云安全防火只允指定IP才能 程桌面端口。
备业务
4.定期份重要数据和文件。
统应组
5.定期更新操作系及用程序件版本(如FTP、Struts2等),防止被漏洞利用。
腾讯软进检扫
6.安装云主机安全Agent和防病毒件行定期体和描。
权腾讯计责版所有:云算(北京)有限任公司 第10⻚共12 Linux客户端离线排查 时间:最近更新 2020-02-17 15:30:13 客户端进程未启动排查 请查询进输
1. 主机安全程是否存在。
入:ps-ef|grepYD。
态两进图
2.正常状下,主机安全存在个程,如下所示: 主机安全 进
3.如果程不存在,可能存在以下情况: 务户载,请门进户服器未安装主机安全或者客端已被卸 根据快速入安装指引,行客端安装。
户现溃,导进启动。
客端可能出异常冲突或者崩 致程没有 查
4.排方法: 查户可看客端日志,存放路径:/usr/local/qcloud/YunJing/log。
执动运户可行命令:/usr/local/qcloud/YunJing/YDEyes/YDService手行客端。
络查网故障排 进线,络请进查:如果程存在,但主机安全不在大部分原因是网不通,按照以下操作行排
1.检查DNS过执进查:是否被修改,可以通行如下命令行行排础络环务基网境(非VPC服器):5574。
络务环VPC网和黑石服器境:5574。
图结正常情况下返回如下所示果:
2.墙防火策略限制,需要开放TCP端口:5574、8080、80、9080。
权腾讯计责版所有:云算(北京)有限任公司 第11⻚共12 Windows客户端离线排查 时间:最近更新 2020-03-02 19:26:26 客户端进程未启动排查 请查询进
1. 主机安全程是否存在。
务查为进打开Windows任管理器,找名 YDService.exe的程是否存在。
主机安全 进
2.如果程不存在,可能存在以下情况: 务户载,请门进户服器未安装主机安全或者客端已被卸 根据快速入安装指引,行客 户现溃,导进启动。
客端可能出异常冲突或者崩 致程没有 查
3.排方法: 查户可看客端日志,存放路径:C:\ProgramFiles\QCloud\YunJing\log。
执动运户可行命令:scstartydservice手行客端。
端安装。
络查网故障排 进如果程存在,但CVM线,络请进查:不在大部分原因是网不通,按照以下操作行排 检查过执进查,结则问题:
1. DNS是否被修改,可以通行如下命令行行排只要其中一个返回正常 础络载务基网下地址(非VPC服器):5574。
务载:VPC和黑石服器下 5574。
墙拦导
2.防火阻致故障,需要开放5574、8080、80、9080端口。
果, 表示DNS无 权腾讯计责版所有:云算(北京)有限任公司 第12⻚共12
标【商声明】 腾讯务标为腾讯计责联及其它云服相关的商均标,权的商依法由利人所有。
云算(北京)有限任公司及其关公司所有。
本文档涉及的第三方主体 务【服声明】 户绍腾讯产务时产务调本文档意在向客介 云全部或部分品、服的当 购买腾讯产务类、务标应腾讯间业约另约则,所的云品、服的种服准等由您与 腾讯对诺证。
云本文档内容不做任何明示或模式的承或保 的整体概况,部分品、服的内容可能有所整。
您云之的商合同定,除非双方有定,否 权腾讯计责版所有:云算(北京)有限任公司 第2⻚共12 处故障理 类问题查Linux入侵 排思路 类问题查Windows入侵 排思路 户线查Linux客端离排 户线查Windows客端离排 录文档目 主机安全 权腾讯计责版所有:云算(北京)有限任公司 第3⻚共12 主机安全 处故障理类问题查Linux入侵 排思路 时间:最近更新 2020-02-27 19:31:08 查深入分析,找入侵原因
一、检查隐藏帐户及弱口令 检查务统应帐户
1.服器系及用是否存在弱口令: 检查说检查员帐户、库帐户、帐户、帐户、员帐户码设明:管理 数据 MySQL tomcat 网站后台管理 等密置是 较为简单,简单码否 的密很容易被黑客破解。
员权录统应为杂码。
解决方法:以管理限登系或用程序后台,修改复的密 ⻛险性:高。
查务录帐户记录,认录过
2.使用last命令看下服器近期登的 确是否有可疑IP登机器: 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 检查发现户时,户户解决方法: 有可疑用 可使用命令usermod-L用名禁用用或者使用命令userdel-r用 户删户。
名除用 ⻛险性:高。
过查录
3.通less/var/log/secure|grep'epted'命令,看是否有可疑IP成功登机器: 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 户户户删户。
解决方法:使用命令usermod-L用名禁用用或者使用命令userdel-r用名除用 ⻛险性:高。
检查统认
4.系是否采用默管理端口: 检查统为认这认动系所用的管理端口(SSH、FTP、MySQL、Redis等)是否默端口,些默端口往往被容易自 进化的工具行爆破成功。
解决方法: 务编辑为认启a.在服器内务。
ssh服 /etc/ssh/sshd_config文件中的Port22,将22修改非默端口,修改之后需要重 对进时,时务对应组规则当端口行修改需同在云服器控制台上修改主机的安全配置,在其入站中,对应放行端口。
b.运行/etc/init.d/sshdrestart(CentOS)或/etc/init.d/sshrestart(Debian/Ubuntu)启命令重 是配置生效。
3.修改FTP、MySQL、Redis认监为等的程序配置文件的默听端口21、3306、6379其他端口。
权腾讯计责版所有:云算(北京)有限任公司 第4⻚共12 主机安全 远录,编辑两c.限制程登的IP /etc/hosts.deny、/etc/hosts.allow个文件来限制IP。
⻛险性:高。
检查权帐户录:
5. /etc/passwd文件,看是否有非授 登 检查说击恶软统隐统帐户实权击。
明:攻者或者意件往往会往系中注入藏的系 施提或其他破坏性的攻 户户户删户。
解决方法:使用命令usermod-L用名禁用用或者使用命令userdel-r用名除用 ⻛险性:中。
检查恶进
二、 意程及非法端口 运查务权监查对应
1.行stat–antlp看下服器是否有未被授的端口被听,看下的pid。
检查务恶进恶进启监进连服器是否存在意程,意程往往会开听端口,与外部控制机器行接。
解决方法: 发权进运为对应a.若先有非授程,行ls-l/proc/$PID/exe或file/proc/$PID/exe($PID 的pid 查对应进号),看下pid所的程文件路径。
为恶进删对应b.如果意程,除下的文件即可。
⻛险性:高。
查进
2.使用ps-ef和命令看是否有异常程 检查说运发现变权进统资时,则为明:行以上命令,当有名称不断化的非授程占用大量系CPU或内存源 可能 恶意程序。
认该进为恶进进结进墙进解决方法:确 程意程后,可以使用kill-9程名命令束程,或使用防火限制程外 联⻛。
险性:高。
三、检查恶意程序和可疑启动项 查启动项启动务。
1.使用chkconfig--list和cat/etc/rc.local命令看下开机 中是否有异常的服 检查说恶统启动项,户启运明:意程序往往会添加在系的 在用关机重后再次行。
发现恶进务闭,时检查解决方法:如有意程,可使用chkconfig服名off命令关同 /etc/rc.local 项请释有异常目,如有注掉。
⻛险性:高。
进录,查时务
2.入cron文件目 看是否存在非法定任脚本。
检查说查明: 中是否 看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly /是否存在可疑脚本或程序。
发现认识计务,认业务业务解决方法:如释务删掉任内容或⻛险性:高。
有不的除脚本。
划任 可定位脚本确是否正常 脚本,如果非正常 脚本,可直接注 检查软
四、第三方件漏洞 权腾讯计责版所有:云算(北京)有限任公司 第5⻚共12 主机安全 务运库应务,请应帐户对统权时
1.如果您服器内有行Web、数据等用服 帐户运root 行。
检查说帐户运应击远务减击损明:使用非root 行可以保障在 您限制用程序 文件系的写限,同尽量使用非 用程序被攻陷后攻者无法立即程控制服器,少攻 失 解决方法: 进务录库录a.入web服根目或数据配置目; 运访问权b.行chown-Rapache:apache/var/www/xxxx、chmod-R750file1.txt命令配置网站 限。
⻛险性:中。
参考示例 级应
2.升修复用程序漏洞检查说统应软较较导明:机器被入侵,部分原因是系使用的用程序件版本老,存在多的漏洞而没有修复,致可 以被入侵利用。
较户腾讯发解决方法:比典型的漏洞例如ImageMagick、openssl、glibc等,用导过进级通apt-get/yum等方式行直接升修复。
⻛险性:高。
可以根据 云已布安全通告指 录权网站目文件限的参考示例如下:场景:们设务运户户组户为录我假HTTP服器行的用和用骤:方法/步 是www,网站用 centos,网站根目是/home/centos/web。
1.们设录组为我首先定网站目和文件的所有者和所有centos,www,如下命令: chown-Rcentos:www/home/centos/web 设录权为户对录拥读执权设户
2.置网站目限750,750是centos用目有写行的限,置后,centos用可以在任何目录创户组读执权这样进录,户权下建文件,用有有行限,才能入目其它用没有任何限。
find-typed-execchmod750{}\; 设权为户对权务读权
3.置网站文件限640,640指只有centos用户权限,无法更改文件,其它用无任何限。
网站文件有更改的限,HTTP服器只有取文件的 find-not-typed-execchmod640{}\; 针对别录设权缓录给务权
4.个目置可写限。
例如,网站的一些存目就需要录须权的/data/目就必要写入限。
HTTP服有写入限、discuzx2 finddata-typed-execchmod770{}\; 权腾讯计责版所有:云算(北京)有限任公司 第6⻚共12 主机安全 优议被入侵后的安全化建 钥进录,减⻛险。
1.尽量使用SSH密行登 少暴力破解的 务编辑为认启
2.在服器内 /etc/ssh/sshd_config文件中的Port22,将22修改 务。
启服可使用命令重 其他非默 端口,修改之后重 SSH /etc/init.d/sshdrestart(CentOS)或/etc/init.d/sshrestart(Debian/Ubuntu) 时,时当修改端口需同在务云服器控制台对应组规则对应上修改主机安全配置,在其入站中放行端口。
须码进选择码。
3.如果必使用SSH密行管理,一个好密论应间远、远库,议设杂无用程序管理后台(网站、中件、tomcat等)、程SSH程桌面、数据都建置复且不样码。
一的密码实下面是一些好密的例(可以使用空格): 1qtwo-threeMiles3c45jia caser,lanqiustreets 词词:下面是一些弱口令的示例,可能是您在公开的工作中常用的或者是您生活中常用的 公司名+日期(coca-cola2016xxxx) 语(常用口Iamagoodboy)检查哪闭业务
4.使用以下命令主机有些端口开放,关非 端口。
netstat-anltp
5.通过腾讯云-安全组防火墙限制仅允许制定IP访问管理或通过编辑/etc/hosts.deny、/etc/hosts.allow两个 文件来限制IP。
应权
6.用程序尽量不使用root限。
权运例如Apache、Redis、MySQL、Nginx等程序,尽量不要以root限的方式行。
统权运权恶软过权获权传门。
7.修复系提漏洞与行在root限下的程序漏洞,以免意件通漏洞提得root限播后时统应及更新系或所用用程序的版本,如Struts2、Nginx,ImageMagick、Java等。
闭应远远闭对监关用程序的程管理功能,如Redis、NTP等,如果无程管理需要,可关外听端口或配置。
备务业务
8.定期份云服器数据。
对业务进备备重要的数据行异地份或云份,避免主机被入侵后无法恢复。
录还应备证录。
除了您的home,root目外,您当份/etc和可用于取的/var/log目 腾讯发击⻛险
9.安装云主机安全Agent,在生攻后,可以了解自身情况。
权腾讯计责版所有:云算(北京)有限任公司 第7⻚共12 主机安全 Windows入侵类问题排查思路 时间:最近更新 2021-08-26 14:37:21 导查本文档将指您如何排Windows入侵类问题。
查深入分析,找入侵原因
一.检查帐户和弱口令 查务统应帐户
1.看服器已有系或用是否存在弱口令。
检查说检查统员帐户、帐户、库帐户应明:主要系管理 网站后台 数据 以及其他用程序(FTP、Tomcat、 帐户phpMyAdmin等)是否存在弱口令。
说明:帐户码议设为组杂码码密建置大写、小写、特殊字符、数字成的12-16位的复密动杂码。
自生成复密 ,也可使用密生成器 检查实际认。
方法:根据情况自行确 ⻛险性:高。
查务统户创账户。
2.看下服器内是否有非系和用本身建的 检查说创账户账户户组显明:一般黑客建的异常 名会在本地用 示出来。
检查输查账员组方法:打开cmd窗口,入lusrmgr.msc命令,看是否有新增的号,如有管理群的 账户,请删(Administrators)里的新增 如有,立即禁用或除掉。
⻛险性:高。
检查隐账户
3.是否存在藏名。
检查说为检查,务创隐账户,隐账户户查明:黑客了逃避 往往会在您服器内建藏 藏在本地用内是看不到的。
检查过载检查隐账户):方法(您也可以通下LP_Check安全工具是否有藏 运键),输编辑a.在桌面打开行(可使用快捷Win+
R 入regedit,即可打开注册表器。
选择认查该选项键单选择权权b. HKEY_LOCAL_MACHINE/SAM/SAM,默无法看 内容,右菜 限,打开限管理 窗口。
选择户(为权选为闭编辑c.当前用一般administrator),将限勾完全控制,然后确定,关注册表器。
编辑选择d.再次打开注册表器,即可HKEY_LOCAL_MACHINE/SAM/SAM/Domains/ount/Users。
项实户现账户账户,为隐账户,认为统e.在Names下可以看到例所有用名,如出本地中没有的 即藏 在确非系 户删户。
用的前提下,可除此用 ⻛险性:高。
权腾讯计责版所有:云算(北京)有限任公司 第8⻚共12 主机安全
二.检查恶意进程和端口 检查恶进统运
1.是否存在意程在系后台行。
检查说击统运恶进进过联进明:攻者在入侵系后,往往会行意程与外部行通信,通分析外的程,即可以找出入 进侵的控制程。
检查方法: 录务选择【【运a.登服器, 开始】>行】。
输输查务权监b.入cmd,然后入stat–nao看下服器是否有未被授的端口被听。
务检查对应进对应进为进过查运c.打开任管理器, 的PID程号所的程是否正常程,例如通PID号看下行文件 删对应过软进查。
的路径,除路径文件,您也可以通微官方提供的ProcessExplorer工具行排 ⻛险性:高。
三.检查恶意程序及启动项
1.检查服务器内部是否有异常的启动项。
检查说击统恶启动项执明:攻者在入侵系后,往往会把意程序放到 中开机行。
检查方法: 录务选择【【启动】。
a.登服器, 开始】>【所有程序】> 认录录,认业务该录b.默情况下此目在是一个空目确是否有非程序在目下。
选择【【运输,查启动项则选c. 开始】>行】,入msconfig看是否存在命名异常的 目,若存在取消勾命名异 启动项显删常的 目,并到命令中示的路径除文件。
选择【【运输查启动项别d. 开始】>行】,入regedit,打开注册表,看开机 是否正常,特注意如下三个注册 项:表 HKEY_CURRENT_USER\software\micorsoft\windows\ersion\run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce 检查
侧启动项请删议杀软进查杀,注册表右是否有异常的目,如有除,并建安装毒件行病毒 清除残留病毒或 木⻢。
⻛险性:高。
2.查看正在连接的会话。
检查说检查务络务间话计务。
明:服器与网上的其它服器之的会或划任 检查方法: 录务选择【【运a.登服器, 开始】>行】。
输输,检查务络务间话,认为连b.入cmd,然后入stat-ano 服器与网上的其它服器之的会 输,检查务计务,认为计务。
接。
入schtasks 服器中的划任并确是否正常的划任 ⻛险性:中。
并确是否正常 权腾讯计责版所有:云算(北京)有限任公司 第9⻚共12 主机安全
四.检查软第三方件漏洞 务运对应软请对软进应权
1.如果您服器内有行外用件(WWW、FTP等),您件行配置,限制用程序的限,禁止目 录浏览权或文件写限。
腾讯应墙护,查应护击
2.开通云Web用防火防 看Web用防攻日志。
常⻅问题 统?如何恢复被入侵后的网站或系 统认统换,时统经变统,系确被入侵后,往往系文件会被更改和替此系已得不可信,最好的方法就是重新安装系同时给统补新系安装所有丁。
统如何防止网站或系被再次入侵? 变统账码为杂码
1.改所有系号的密复密(至少与入侵前不一致)。
认远
2.修改默程桌面端口,操作如下: 选择【【运输i. 开始】>行】,然后入regedit。
进ii.打开注册表,入如下路径:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp iii.
KEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp 侧值。iv.修改下右的PortNamber 腾讯组墙许访问远
3.配置云安全防火只允指定IP才能 程桌面端口。
备业务
4.定期份重要数据和文件。
统应组
5.定期更新操作系及用程序件版本(如FTP、Struts2等),防止被漏洞利用。
腾讯软进检扫
6.安装云主机安全Agent和防病毒件行定期体和描。
权腾讯计责版所有:云算(北京)有限任公司 第10⻚共12 Linux客户端离线排查 时间:最近更新 2020-02-17 15:30:13 客户端进程未启动排查 请查询进输
1. 主机安全程是否存在。
入:ps-ef|grepYD。
态两进图
2.正常状下,主机安全存在个程,如下所示: 主机安全 进
3.如果程不存在,可能存在以下情况: 务户载,请门进户服器未安装主机安全或者客端已被卸 根据快速入安装指引,行客端安装。
户现溃,导进启动。
客端可能出异常冲突或者崩 致程没有 查
4.排方法: 查户可看客端日志,存放路径:/usr/local/qcloud/YunJing/log。
执动运户可行命令:/usr/local/qcloud/YunJing/YDEyes/YDService手行客端。
络查网故障排 进线,络请进查:如果程存在,但主机安全不在大部分原因是网不通,按照以下操作行排
1.检查DNS过执进查:是否被修改,可以通行如下命令行行排础络环务基网境(非VPC服器):5574。
络务环VPC网和黑石服器境:5574。
图结正常情况下返回如下所示果:
2.墙防火策略限制,需要开放TCP端口:5574、8080、80、9080。
权腾讯计责版所有:云算(北京)有限任公司 第11⻚共12 Windows客户端离线排查 时间:最近更新 2020-03-02 19:26:26 客户端进程未启动排查 请查询进
1. 主机安全程是否存在。
务查为进打开Windows任管理器,找名 YDService.exe的程是否存在。
主机安全 进
2.如果程不存在,可能存在以下情况: 务户载,请门进户服器未安装主机安全或者客端已被卸 根据快速入安装指引,行客 户现溃,导进启动。
客端可能出异常冲突或者崩 致程没有 查
3.排方法: 查户可看客端日志,存放路径:C:\ProgramFiles\QCloud\YunJing\log。
执动运户可行命令:scstartydservice手行客端。
端安装。
络查网故障排 进如果程存在,但CVM线,络请进查:不在大部分原因是网不通,按照以下操作行排 检查过执进查,结则问题:
1. DNS是否被修改,可以通行如下命令行行排只要其中一个返回正常 础络载务基网下地址(非VPC服器):5574。
务载:VPC和黑石服器下 5574。
墙拦导
2.防火阻致故障,需要开放5574、8080、80、9080端口。
果, 表示DNS无 权腾讯计责版所有:云算(北京)有限任公司 第12⻚共12
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
相关文章
