进日收到阿里云发来的报警信息,有台大数据服务器被恶意程序攻击,导致服务器的CUP、内存增高,之前处理过这种问题,处理的办法不是很理想,隔了一段时间又出现此类问题。在此总结一下:
导致此类事件的原因包括:
服务器的端口对外开放,黑客利用这些端口的漏洞来入侵服务器;
服务器的账号密码过于简单,被黑客暴力破解入侵服务器;
解决问题的办法如下:
连接服务器找到恶意程序进程杀掉;
删掉恶意进程文件;
将对应执行恶意程序的用户也清除掉;
清除系统计划任务中(crontab)的恶意任务;
以上都是最为基础的排查思路,都处理完后在观察一段时间服务器,用top命令查看是否还有恶意程序执行,如果还有的话可能就是其他原因导致,比如恶意程序封装在系统某个应用中,解决办法就是找到此应用删除应用重新安装即可。
如何避免此类问题发生:
应用服务的端口如果不对外公开的话,建议把监听地址改成本地内网地址;
服务的默认端口也要更改;
增强服务器的用户名密码的安全性,不要过于简单;
系统用户要设置成/sbin/nologin禁止登陆服务器;
阿里云安全组和系统防火墙要设置合理;
