以前生产环境遇到被攻击采取的措施
Last failed login: Fri Jun 29 11:26:11 CST 2018 from 182.100.67.201 on ssh:notty
There were 8485 failed login attempts since the last successful login.
Last login: Thu Jun 28 10:53:30 2018 from 111.234.234.81
1.关闭染毒vm,检测物理机上是否有可疑进程。防止从vm逃逸到物理机。
2.开启防火墙。只放行22,80等端口。
3.目前是弱口令,马上增加口令复杂度。
4.升级nginx、tomcat、jdk、spring mvc等到最新版本。
5.用yum update更新每台机器。
6.备份现有数据库,将mysql升级到新版。
7.网站后台管理口令进行增强
应该是利用系统弱口令或tomcat远程命令执行漏洞被攻击的
内网windows推荐安装火绒企业版进行统一的终端保护
目前能做的:
yum update
redis ip策略 端口改
mysql 5.7 ssl 视情况而定
安装fail2ban 工具 ,修改ssh 22端口
白名单策略
mysql备份脚本
ssh 使用key方式登录
nginx 限制并发数
被攻击可能的原因:
网络方面:(web方式攻击)
1.tomcat版本低
2.程序出现漏斗:sql注入,头像上传代码不严谨(支持其他类型文件上传)
3.jdk漏洞:序列化问题
4.spring mvc 版本低
5.弱口令
本地方面:
本地打包上传的war有可能被病毒感染
升级了虚拟机内核;
新增root权限用户,禁用root用户远程ssh登录;
安装fail2ban防ssh暴力攻击攻击;
nginx限制并发数;
虚拟机所有ssh端口修改;
redis端口和密码修改及ip策略;
mysql新增了非root用户
1.yum update 升级虚拟机内核要创建定时任务,一周升级一次;
2.mysql 账号:一个应用对应一个账号;不能把所有权限都赋予这个用户;远程连接非“%”,指定IP;
3.ngnix 每秒内被访问20次,拉黑该IP;设置超时时间;
4.云防火墙,考虑百度云WAF;
5.虚拟机备份快照;备份代码、图片(一周全量备份,每天增量备份)
6.定期查看服务器进程,列出进程白名单;查看是否有占cpu很大的进程;
7.查看远程连接工具,选用官网下载途径;
8.查看序列化和反序列化的漏洞;
9.查看测试程序漏洞,防止密码攻击;
10.https 防止DNS拦截;
11.后台程序返回数据加密;前后台定义规则;
12.记录攻击IP、非法信息,系统日志
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
