部分内容摘自腾讯云/互联网,侵删
一、检查隐藏帐户及弱口令
弱口令检查
- 检查服务器系统及应用帐户是否存在弱口令
- 检查说明:检查管理员帐户、数据库帐户、MySQL 帐户、tomcat 帐户、网站后台管理员帐户等密码设置是否较为简单,简单的密码很容易被黑客破解,尤其是暴露在公网的管理系统需要增加机器人验证或短信验证避免被暴力破解。
- 解决方法:管理员(root/admin或su/sudo)权限登录系统或应用程序后台,修改为复杂的密码。
风险性:高。
IP检查
-
使用last命令查看下服务器近期登录的帐户记录,确认是否有可疑 IP 登录过机器:
last命令输出结果
last命令说明
last [options] [username...] [tty...]
参数说明:
-R 省略主机名 hostname 的列
-a 把从何处登入系统的主机名称或IP地址显示在最后一行。
-d 将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示行数>或-<显示行数> 显示名单的行数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
username: 显示指定用户 username 的登录信息。
tty 设置登录的终端,tty 的名称可以缩写, last 0 与 last tty0 相同。
- 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统帐户实施提权或其他破坏性的攻击。
- 解决方法:检查发现有可疑用户时,可使用命令usermod -L 用户名禁用用户或者使用命令userdel -r用户名删除用户。
风险性:高
检查管理端口
- 检查系统所用的管理端口(SSH、FTP、MySQL、Redis 等)是否为默认端口,这些默认端口往往被容易自动化工具nmap或其他工具扫描成功后进行爆破
- 解决方法:在服务器内编辑/etc/ssh/sshd_config文件中的 Port 22,将22修改为非默认端口,修改之后需要重启 ssh 服务,(我也写过一篇关于ssh设置的文章感兴趣可以Linux服务器安全基础设置)
- 修改完成后运行/etc/init.d/sshd restart(CentOS)或 /etc/init.d/ssh restart(Debian / Ubuntu)命令重启是配置生效。
-修改 FTP、MySQL、Redis 等的程序配置文件的默认监听端口21、3306、6379为其他端口。 - 限制远程登录的 IP,编辑/etc/hosts.deny 、/etc/hosts.allow两个文件来限制 IP。
- 风险性:高
检查非授权帐户
- 检查/etc/passwd文件,看是否有非授权帐户登录:
- 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统帐户实施提权或其他破坏性的攻击。
- 解决方法: 使用命令usermod -L 用户名禁用用户或者使用命令userdel -r 用户名删除用户。
- 风险性:高
持续更新...
