阿里云服务器被恶意程序攻击

进日收到阿里云发来的报警信息,有台大数据服务器被恶意程序攻击,导致服务器的CUP、内存增高,之前处理过这种问题,处理的办法不是很理想,隔了一段时间又出现此类问题。在此总结一下:

 

导致此类事件的原因包括:

  1. 服务器的端口对外开放,黑客利用这些端口的漏洞来入侵服务器;

  2. 服务器的账号密码过于简单,被黑客暴力破解入侵服务器;

解决问题的办法如下:

  1. 连接服务器找到恶意程序进程杀掉;

  2. 删掉恶意进程文件;

  3. 将对应执行恶意程序的用户也清除掉;

  4. 清除系统计划任务中(crontab)的恶意任务;

以上都是最为基础的排查思路,都处理完后在观察一段时间服务器,用top命令查看是否还有恶意程序执行,如果还有的话可能就是其他原因导致,比如恶意程序封装在系统某个应用中,解决办法就是找到此应用删除应用重新安装即可。

如何避免此类问题发生:

  1. 应用服务的端口如果不对外公开的话,建议把监听地址改成本地内网地址;

  2. 服务的默认端口也要更改;

  3. 增强服务器的用户名密码的安全性,不要过于简单;

  4. 系统用户要设置成/sbin/nologin禁止登陆服务器;

  5. 阿里云安全组和系统防火墙要设置合理;

总体思路就是先解决问题、做预防、在观察服务器。

你可能感兴趣的:(linux,阿里云,运维)