减少服务器被入侵

减少服务器被入侵 

排查方向

1、日志

查看/var/log下的日志，如果发现有大量SSH登录失败日志，并存在root用户多次登录失败后成功登录的记录，这就符合暴力P解特征

2、系统分析

对系统关键配置、账号、历史记录等进行排查，确认对系统的影响情况。

发现/root/.bash_history内历史记录已经被清除，其他无异常。

3、进程分析

对当前活动进程、网络连接、启动项、计划任务等进行排查。

4、文件系统

查看系统关键的文件是否被修改等。

5、后门排查

使用入侵检测工具扫描系统是否存在后门漏洞。

加固建议

1、 禁用不必要启动的服务与定时任务。

2、 如非必要禁止SSH端口对外网开放，或者修改SSH默认端口并限制允许访问IP。

3、定期更换服务器账号、密码和端口，密码应该包含大小写字母、数字和特殊符号。