今天收到阿里云的邮件,一台linux服务器在荷兰被登录了。9.23分。我赶紧进去修改了下密码,
由于本公司又没专门的安全工程师,运维都是副业,主业都是开发,所以有些无可赖何,我进去把平常看到的可疑
进程都结束掉了
lsof -c 进程名
Whereis 进程名
ls -al 进程名
设置白名单
几条iptables规则吧
iptables -A OUTPUT -o lo -j ACCEPT
允许本机访问本机
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
允许主动访问本服务器的请求
iptables -A OUTPUT –p tcp –d 192.168.1.235 -jACCEPT
允许服务器主动访问的IP白名单
iptables -A DROP
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.10 -j ACCEPT
拒绝对外访问
一刀砍。不过被黑客进去过了 肯定是不能再用了
netstat -tlnp 查看占用端口
# 该规则表示INPUT表默认策略是ACCEPT
:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT表默认策略是ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
这个是iptables的默认策略,你也可以删除这些,另外建立符合自己需求的策略。