阿里云服务器受攻击总结
1.为什么受攻击
1.1什么是暴力破解攻
暴力破解攻击是指攻击者通过系统地组合并尝试所有的可能性以破解用户的用户名、密码等敏感信息。攻击者往往借助自动化脚本工具来发动暴力破解攻击。
1.1.1攻击行为类型
根据暴力破解的穷举方式,其攻击行为可以分为:
- 字典攻击法。大多攻击者并没有高性能的破解算法和CPU/GPU,为节省时间和提高效率,会利用社会工程学或其它方式建立破译字典,使用字典中已存在的用户名、密码进行猜破。
- 穷举法。攻击者首先列出密码组合的可能性(如数字、大写字母、小写字母、特殊字符等),然后按密码长度从1位、2位….构成不同的账号和密码对,然后逐个猜试。该方法需要高性能的破解算法和CPU/GPU作支持。
- 组合式攻击法。使用字典攻击和穷举法的组合攻击方式。
理论上,只要拥有性能足够强的计算机和足够长的时间,大多密码均可以被破解出来。
1.1.2攻击业务类型
- 针对Windows操作系统的远程桌面管理协议(RDP)、Linux操作系统的管理协议(SSH)的暴力破解攻击
- 针对具有登录认证机制的软件服务(如Mysql、SQLserver、FTP、Web前后端登录接口等应用服务)的暴力破解攻击
对于防御者而言,给攻击者留得时间越长,其组合出正确的用户名和密码的可能性就越大。因此,时间在检测暴力破解攻击时很重要。
1.2暴力破解攻击有什么危害
通过自动化工具发起的暴力破解攻击可以获取用户账号和密码。
1.3如何防御暴力破解攻击
- 制定密码复杂度策略,并进行服务加固。密码的长度要大于 8 位,且最好大于 20 位;密码应由数字、大小写字母和特殊符号混合组成;密码的最长有效期为 90 天。
- 配置好网络访问控制。严格限制将高危服务管理端口直接发布到互联网;建议您使用 VPN 和堡垒机的方式集中管理和审计。
- 提高内部全员安全意识,禁止借用或共享使用账号。
2.相关查看命令
2.1查看登陆信息
2.1.1查看是否有异常登陆
last
2.1.2以什么途径被攻击
cat /var/log/secure
port 1579
这个端口是客户端使用随机端口来连接服务器ssh服务的
2.2.查看服务器运行状
2.2.1查看磁盘使用情况
top
TOP命令详解
2.2.2查看是否有定时任务
crontab -l
2.3.查看操作记录
2.3.1查看当前IP用户历史操作记录
history
# 查看更多操作记录
cat ~/.bash_history
2.3.2查看某用户某个时间点登陆之后的操作记录
record
3.临时解决方式
3.1将异常登陆IP加入黑名单
3.1.1阿里云web端(安全组)
3.1.2服务器端
cat /etc/hosts.deny
4.服务器安全加固
4.1使用密钥对方式连接
4.1.1密钥对简介
功能优势
相较于用户名和密码认证方式,SSH密钥对有以下优势:
- 安全性:SSH密钥对登录认证更为安全可靠。
- 密钥对安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
- 不可能通过公钥推导出私钥。
- 便捷性:
- 如果您将公钥配置在Linux实例中,那么,在本地或者另外一台实例中,您可以使用私钥通过SSH命令或相关工具登录目标实例,而不需要输入密码。
- 便于远程登录大量Linux实例,方便管理。如果您需要批量维护多台Linux实例,推荐使用这种方式登录。
使用限制
使用SSH密钥对有如下限制:
- 如果使用SSH密钥对登录Linux实例,将会禁用密码登录,以提高安全性。
- 仅支持Linux实例。
- 目前,ECS只支持创建2048位的RSA密钥对。
- 一个云账号在一个地域最多可以拥有500个密钥对。
- 通过控制台绑定密钥对时,一台Linux实例只能绑定一个密钥对,如果您的实例已绑定密钥对,绑定新的密钥对会替换原来的密钥对。 如果您有使用多个密钥对登录实例的需求,可以在实例内部手动修改~/.ssh/authorized_keys文件,添加多个密钥对。
4.1.2密钥对使用
生成密钥对
登录ECS管理控制台。
在左侧导航栏,选择网络与安全 > 密钥对。
在顶部菜单栏左上角处,选择地域。
单击创建密钥对。
在创建密钥对页面,完成以下配置。
单击确定。
配置项 描述 密钥对名称 密钥对名称不能和已有密钥对重复。长度为2~128个字符,不能以特殊字符及数字开头,只可包含特殊字符中的英文句号(.)、下划线(_)、短划线(-)和冒号(:)。 创建类型 您可以选择以下任一类型创建密钥对。建议您选择自动新建密钥对,并及时保存私钥。自动新建密钥对:系统会为您自动创建密钥对。创建完成后将自动下载私钥,您只有这一次下载私钥的机会,因此请妥善保存私钥文件。导入已有密钥对:您可以自行导入Base64编码的公钥内容。 资源组 您可以为密钥对指定一个资源组,实现对资源的分组管理,详情请参见资源组。 标签 您可以为密钥对绑定一个或多个标签,便于搜索和资源聚合,详情请参见标签概述。
导入密钥对
登录ECS管理控制台。
在左侧导航栏,单击网络与安全 > 密钥对。
在顶部菜单栏左上角处,选择地域。
单击创建密钥对。
设置密钥对名称,并选择导入已有密钥对。
说明:密钥对名称不能重复。否则,控制台会提示密钥对已存在。
在公钥内容文本框中,输入要导入的公钥。
单击确定。
绑定密钥对
登录ECS管理控制台。
在左侧导航栏,单击网络与安全 > 密钥对。
在顶部菜单栏左上角处,选择地域。
找到需要操作的密钥对,在操作列中,单击绑定密钥对。
在选择ECS实例栏中,选中需要绑定该密钥对的ECS实例名称,单击**>图标,移入已选择**栏中。
如果选择ECS实例栏中的ECS实例名称显示为灰色,表示该实例为Windows实例,不支持SSH密钥对。
单击确定。
如果ECS实例处于运行中(Running)状态,重启实例使操作生效:
- 在左侧导航栏,单击实例与镜像 > 实例。
- 找到需要操作的实例,在操作列中,选择更多 > 实例状态 > 重启。
- 在重启实例弹窗中,单击确定。
4.2使用普通用户登陆
4.2.1为什么用普通有户登陆
自身安全问题
先用普通用户进入 再切换成管理员,是一个良好的习惯,主要是用于防止误操作。因为root用户具有最高权限,一些很危险的操作 如rm -Rivf 等操作是没有任何提示的删除,极有可能删掉重要的文件。
root权限可以对任何文件进行修改,万一操作错误,就可能导致系统崩溃,一般良好的操作习惯,都不用root身份。除非实在要root的时候才用。有些系统,默认也是禁止root远程登录,同样也是安全考虑。
linux一般是企业建立服务器用的,网络维护人员99%都是通过ssh远程上去对服务器进行维护的。一般服务器本身缺省设置,为了安全考虑,都屏蔽了root远程登录,管理员都是通过普通用户,远程登录上去。如果需要操作root权限的事情,才通过su编程root身份。
再比如执行某些重要脚本如全系统备份等(在业务高峰期时不应该作此操作),会对系统性能造成重大影响。
被入侵安全问题
- 万一被入侵,不会获取root权限,进行删除操作。
4.2.2使用普通用户
4.3Linux操作系统安全加固
4.3.1. 账号和口令
(1) 禁用或删除无用账号
减少系统无用账号,降低安全风险。
操作步骤
- 使用命令
userdel <用户名>删除不必要的账号。 - 使用命令
passwd -l <用户名>锁定不必要的账号。 - 使用命令
passwd -u <用户名>解锁必要的账号。
(2) 检查特殊账号
检查是否存在空口令和root权限的账号。
操作步骤
- 查看空口令和root权限账号,确认是否存在异常账号:
- 使用命令
awk -F: '($2=="")' /etc/shadow查看空口令账号。 - 使用命令
awk -F: '($3==0)' /etc/passwd查看UID为零的账号。
- 使用命令
- 加固空口令账号:
- 使用命令
passwd <用户名>为空口令账号设定密码。 - 确认UID为零的账号只有root账号。
- 使用命令
(3) 添加口令策略
加强口令的复杂度等,降低被猜解的可能性。
操作步骤
使用命令
vi /etc/login.defs修改配置文件。
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数PASS_MIN_DAYS 0 #新建用户的密码最短使用天数PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
使用chage命令修改用户设置。
例如,chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为30,最短使用天数设为0,密码2000年1月1日过期,过期前七天警告用户。设置连续输错三次密码,账号锁定五分钟。使用命令
vi /etc/pam.d/common-auth修改配置文件,在配置文件中添加auth required pam_tally.so onerr=fail deny=3 unlock_time=300。
(4) 限制用户su
限制能su到root的用户。
操作步骤
使用命令 vi /etc/pam.d/su修改配置文件,在配置文件中添加行。例如,只允许test组用户su到root,则添加 auth required pam_wheel.so group=test。
(5) 禁止root用户直接登录
限制root用户直接登录。
操作步骤
- 创建普通权限账号并配置密码,防止无法远程登录;
- 使用命令
vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no,并保存,然后使用service sshd restart重启服务。
4.3.2 服务
(1) 关闭不必要的服务
关闭不必要的服务(如普通服务和xinetd服务),降低风险。
操作步骤
使用命令systemctl disable <服务名>设置服务在开机时不自动启动。
说明: 对于部分老版本的Linux操作系统(如CentOS 6),可以使用命令chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。
(2) SSH服务安全
对SSH服务进行安全加固,防止暴力破解成功。
操作步骤
使用命令 vim /etc/ssh/sshd_config 编辑配置文件。
- 不允许root账号直接登录系统。
设置 PermitRootLogin 的值为 no。 - 修改SSH使用的协议版本。
设置 Protocol 的版本为 2。 - 修改允许密码错误次数(默认6次)。
设置 MaxAuthTries 的值为 3。
配置文件修改完成后,重启sshd服务生效。
4.3.3 文件系统
(1) 设置umask值
设置默认的umask值,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,添加行 umask 027, 即新创建的文件属主拥有读写执行权限,同组用户拥有读和执行权限,其他用户无权限。
(2) 设置登录超时
设置系统登录后,连接超时时间,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为TMOUT=180,即超时时间为三分钟。
4.3.4 日志
(1) syslogd日志
启用日志功能,并配置日志记录。
操作步骤
Linux系统默认启用以下类型日志:
- 系统日志(默认)/var/log/messages
- cron日志(默认)/var/log/cron
- 安全日志(默认)/var/log/secure
注意:部分系统可能使用syslog-ng日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。
您可以根据需求配置详细日志。
(2) 记录所有用户的登录和操作日志
通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。
操作步骤
运行
[root@xxx /]# vim /etc/profile打开配置文件。在配置文件中输入以下内容:
historyUSER=`whoami`USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]; thenUSER_IP=`hostname`fiif [ ! -d /var/log/history ]; thenmkdir /var/log/historychmod 777 /var/log/historyfiif [ ! -d /var/log/history/${LOGNAME} ]; thenmkdir /var/log/history/${LOGNAME}chmod 300 /var/log/history/${LOGNAME}fiexport HISTSIZE=4096DT=`date +"%Y%m%d_%H:%M:%S"`export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null运行
[root@xxx /]# source /etc/profile加载配置生效。
注意: /var/log/history 是记录日志的存放位置,可以自定义。
通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录IP、时间的日志文件,包含此用户本次的所有操作(root用户除外)。
阿里云服务器受攻击总结相关推荐
- 阿里云服务器遭到攻击进入黑洞怎么办
小编做防御业务以来,遇到最到被攻击的服务商就是阿里云主机了,为什么使用阿里云主机会经常被攻击呢? 这里主机吧根据自己的经验给大家总结下以下几点原因: 1.使用阿里云的服务器用户多 阿里云的主机在国内市 ...
- 阿里云服务器被恶意ddos攻击了怎么办?
服务器被DDoS攻击最恶心,尤其是阿里云的服务器受攻击最频繁,因为黑客都知道阿里云服务器防御低,一但被攻击就会进入黑洞清洗,轻的IP停止半小时,重的停两个至24小时,给网站带来很严重的损失. 处理 d ...
- 阿里云服务器如何防DDOS攻击
阿里云服务器如何防DDOS攻击?下面小编就为大家介绍下阿里云服务器如何防DDOS攻击 方法/步骤 首先登陆阿里云控制台,点击左侧的产品与服务 点击DDOS基础防护进入云盾-DDOS基础安全控制台里面 ...
- 阿里云服务器遭到DDOS攻击怎么解决
国有云里面阿里云的用户是最多的,经常会遇到有用阿里云的客户来咨询我服务器被攻击的问题.总的来说呢原因也是很简单的,阿里云的服务器都是只有5G的自带防御都是一碰就死,攻击成本低,所以很容易被攻击.那么我 ...
- 阿里云服务器DDoS防御方法免受攻击的详细内容
阿里云服务器会被攻击吗?为什么阿里云服务器经常被攻击?无论是阿里云还是其他厂商都有可能被攻击,阿里云服务器市场占有率高,所以被攻击概率高也是正常的,护云盾来详细说下阿里云服务器被DDoS攻击的解决方法 ...
- 阿里云服务器web应用安全-XSS攻击
以前听过XSS攻击,但是因为只是公司中众多码农中的小小一枚,几乎没有机会亲身体验过XSS攻击.由于最近机缘巧合,帮亲戚在阿里云esc上搭建了一套web应用系统,碰上了一系列安全问题,这个XSS就是其中 ...
- 记一次阿里云服务器因Redis被【挖矿病毒crypto和pnscan】攻击的case,附带解决方案
一.事情缘由 云服务器到手之后,为了可以让自己本地可以连接到阿里云服务器上就做了如下操作: 开放了ssh(port:22)端口:为了远程连接使用. 开放了剩余的其他所有端口:录制教学视频时启动了相关容 ...
- 远程连接阿里云服务器出现“远程桌面,身份验证错误:要求的函数不受支持“解决办法
今天在远程连接阿里云服务器的时候遇到了下面这个问题:(win10家庭版): 在这里分享一下一个解决方式: windows+R打开运行 输入regedit打开注册表 到达如下路径:[计算机\HK ...
- 深度数据对比分析:阿里云服务器和腾讯云服务器那家好?
服务器具有维护成本低,安全稳定,高可扩展性和 7 X 24 小时的售后支持的优势,因此云服务器成为中小企业建站的首要选择.国内的云服务器竞争也进入了跑马圈地的时代,以阿里云.腾讯云.百度云三大BAT为 ...
最新文章
- linux 中root用户与普通用户的切换
- python使用matplotlib可视化3D直方图(3D histogram、三维直方图、包含三个坐标轴x、y、z)、3D直方图可视化多个维度数据的区别和联系
- python解包裹_关于Python中包裹传参和解包裹的理解
- Python IDLE或shell中切换路径
- 关于Simple Joule Theif Curcuit 电路的两个提问
- Redis:内存满了的解决方案
- UVa 12167 HDU 2767 强连通分量 Proving Equivalences
- 6.C语言迷宫程序界面版
- 邮件伪造_伪造品背后的数学
- c json输出html标签,Json编码HTML字符串
- 统计英文文本的字母个数
- html select ajax,AJAX 动态加载后台数据 绑定select的方法
- python常用中文分词方法_中文分词原理及常用Python中文分词库介绍
- 2016年最新苹果开发者账号注册申请流程最强详解!
- salve mysql_mysql 同步实现, master-salve
- MacBookPro 装win7
- react native的WebView报错: Unable to open URL:****
- wildfly软件介绍
- 微信公众号推文内可以添加附件了吗?
- 计算机考试屏蔽范围,哪些屏蔽设备可用于计算机机房的电磁屏蔽?