您好,我们服务器由于Redis 没有设置密码暴露到公网被人扫端口扫到后利用crontab 提权后植入勒索病毒,导致文件全部被删,我们登录到服务器就收到提示,叫我们去一个网站交钱才可以恢复(实际你交钱也没有用)
经过这次被入侵,和事后排查问题,我应该可以回答你的问题:
- 安全/登录日志查看,如果发现有个ip不断尝试且授权没有通过,证明他们在猜测密码或尝试提权操作,防火墙先过滤目标ip
- 有工具可以检测操作系统核心文件是否篡改
- 检查系统账号和对应的账号权限是否有问题,如果多出账号或者,普通账号拥有了更高级的权限都要引起重视
- 系统进程检查,平时了解一下进程对应的程序或功能,如果发现异常进程应该kill掉
- 端口检查,防火墙对外的端口一般都和应用对应,发现异常端口同样要搞清楚或者删除
- 其它已知病毒/后门检查,就是当怀疑或能证明一些问题的存在时,应该多去了解别人有没有这种情况,第一时间采取措施,比如我Redis 被黑了,我需要检查crontab 如果证实问题存在,那么我会删除该任务和登录授权文件,改Redis 端口和密码等
- 企业杀毒软件 安全企业针对服务器的软件,不过Linux 上基本都不用
大致我能想到的就这些,希望对你有帮助