云服务器被攻击,主机被挖矿攻击,怎么办?
确定并清除挖矿程序
1、排查进程异常行为:登录管理控制台,选择“安全与合规 > 企业主机安全”,进入企业主机安全页面,在“入侵检测 > 事件管理”中选择“进程异常行为”,查看并处理发生的异常进程行为告警。
2、排查定时任务:大部分挖矿程序会在受感染的主机中写入定时任务,完成程序的驻留,选择“风险预防 > 资产管理”,单击“自启动”,选择“定时任务”,查看异常定时任务并进行删除。
3、排查其他自启动项:有的挖矿进程为了实现长期驻留,会向系统中添加自启动项来确保系统重启后仍然能重新启动,需要及时清除可疑的自启动项。
4、排查可疑进程信息:快速查看主机中存在的可疑应用进程,并及时终止可疑的应用进程。
5、排查开放端口:检查是否开放了危险或者未知端口,及时关闭危险或者未知端口。
6、重装系统:若通过以上手段均无法删除挖矿程序,请重装系统。
主机安全加固
1、Linux加固建议
使用HSS每日凌晨自动进行一次全面的检测,帮助您深度防御主机和应用方面潜在的安全风险。
修改系统所有帐号口令(包括系统帐户和应用帐户)为符合规范的强口令,或将主机登录方式改为密钥登录彻底规避风险。
设置安全口令,使用密钥登录主机。
严格控制系统管理员帐户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。
使用安全组定义访问规则,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。
2、Windows加固建议
使用HSS全面体检并深度防御主机和应用方面潜在的安全风险。
对您的Windows系统进行帐户安全加固、口令安全加固和授权安全加固。
定期检查并删除无关帐户。
配置“从远端系统强制关机”,权限只分配给Administrators组。
用户权限指派,取得文件或其它对象的所有权的权限只分配给Administrators组。
配置指定授权用户允许本地登录此计算机。
只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
预防措施
1、及时更新系统和软件:确保服务器上的操作系统和相关软件都是最新版本,这样可以及时修复已知的漏洞和安全问题,减少被攻击的风险。
2、强化访问控制:设置严格的访问控制策略,限制只有授权用户才能登录服务器,您可以使用防火墙、网络隔离等技术来控制对服务器的访问权限。
3、安装防病毒软件和入侵检测系统:安装防病毒软件和入侵检测系统可以帮助您及时发现和阻止潜在的攻击行为。
4、监控服务器性能和流量:定期监控服务器的性能和流量,及时发现异常情况。
5、备份数据并定期清除旧文件:定期备份服务器上的数据,并清除不再需要的旧文件。
相关问题与解答
1、如何判断服务器中是否存在挖矿威胁?
如果服务器的CPU使用率明显升高,例如周期性或者长时间持续达到80%以上,并且出现未知进程持续向外发送网络包的情况,可以判定服务器中存在挖矿威胁。
2、如果发现挖矿病毒后如何处理?
立即关闭相关的挖矿程序,然后更新系统和软件以防止病毒再次入侵,加强服务器的安全措施,如定期备份数据、使用防火墙和入侵检测系统、安装杀毒软件并保持其更新,如果遇到困难,寻求专业的技术支持。
小伙伴们,上文介绍了“云服务器被攻击_主机被挖矿攻击,怎么办?”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
原创文章,作者:未希,如若转载,请注明出处:https://www.kdun.com/ask/1091668.html
微信扫一扫