解决阿里云服务器ECS遭到攻击方法:GET和攻击类型:SSH暴力破解

2019-05-05服务器被攻击了
有些人总是喜欢在休假的时候进行搞事,劳动节好不容易休息,服务器遭到黑客攻击,排查,提高防御措施
一 攻击方法:GET
方法:修改nginx配置
# vim nginx.conf

二 攻击类型:SSH暴力破解
方法:直接设置安全组,修改ssh默认端口,限制ip访问ssh端口(设置白名单),再改防火墙.
注意两个电脑在使用同一WiFi的情况下,连接服务器,所查看到的ip是一样的.
测试是否配置成功:手机开热点,一台电脑连接手机,再去登录,若不可以登录,证明配置成功

安全管控设置白名单


其他排查:

1 查看本机的计划任务,将异常的定时任务删除
根据阿里云安全中心提示的进程异常-访问恶意下载源进行排查

2 查杀异常远程登录
使用last进行查看最近的远程登录人员,
3 通过进程号找到异常文件位置
1)top查看异常进程
2)文件的文件名与相关属性并列出所有文件详细的权限与属性
ls -al /proc/pid(父进程id)

Linux 常见木马清理命令：

chattr -i /usr/bin/.sshd
rm -f /usr/bin/.sshd
rm -f -r /usr/bin/bsd-port
rm -r -f /root/.ssh
rm -r -f /usr/bin/bsd-port
cp /usr/bin/dpkgd/ps /bin/ps
cp /usr/bin/dpkgd/netstat /bin/netstat
cp /usr/bin/dpkgd/lsof /usr/sbin/lsof
cp /usr/bin/dpkgd/ss /usr/sbin/ss
find /proc/ -name exe | xargs ls -l | grep -v task |grep deleted| awk '{print $11}' | awk -F/ '{print $NF}' | xargs killall -9

排查 ECS 实例漏洞
1 查看 ECS 实例账号是否异常。

Linux 实例
执行命令 last 或者 /var/log/secure 查看 ECS 实例近期登录记录。
执行命令 vi /etc/passwd 查看是否有异常账户，有的话执行命令 usermod -L 用

户名 禁用用户或者执行命令 userdel -r 用户名 删除用户。

2 查看 ECS 实例是否有异地登录情况，如有则修改密码为强密码，以 10 位及其以上的大小写字母、数字以及特殊符号组成。

3 查看 Web 服务是否有漏洞，如 struts, ElasticSearch 等，如有则请升级。您也可以登录 云盾安全防护功能 检测 Web 服务是否有漏洞。

4 检查 ECS 实例内部账户密码是否过于简单，例如，MySQL 账户，SQL Server 账户，FTP 账户，Web 管理后台帐号，或者其他密码，并将简单密码重置为复杂密码，以 10 位及其以上的大小写字母、数字以及特殊符号组成。

5 按照对应第三方软件官网指示修复。