立即采取措施遏制攻擊并殺死挖礦程序,防止礦工占用CPU或影響其他應(yīng)用程序。
您還應(yīng)該強化服務(wù)器以更好地阻止入侵。
檢查和清除挖礦程序
用于故障排除的思維導(dǎo)圖
以下思維導(dǎo)圖描述了如何識別挖掘程序及其入侵的根本原因。
程序
- 登錄管理控制臺。
- 在頁面左上角選擇地域,單擊
,選擇。 - 檢查異常進程行為事件。?
選擇入侵>事件。在事件區(qū)域中,單擊異常進程行為。單擊事件操作列的?句柄。圖2處理異常進程行為
?
- 檢查計劃任務(wù)。您的一些計劃任務(wù)可能是由攻擊者創(chuàng)建的,用于定期下載挖礦程序或運行挖礦腳本。?
選擇掃描>資產(chǎn),然后單擊自動啟動。在下拉列表中,選擇定時任務(wù),檢查并停止可疑任務(wù)。
圖 3檢查計劃任務(wù)
?
- 檢查自動啟動項。您的一些自動啟動項可能是由攻擊者創(chuàng)建的,用于在服務(wù)器重新啟動時啟動挖掘程序。?
選擇掃描>資產(chǎn),然后單擊自動啟動。篩選并檢查Autostarted service、Preloaded dynamic library、Run registry key和Startup 文件夾項。
圖 4檢查自動啟動項
?
- 檢查并終止可疑進程。?
圖 5檢查可疑進程
?
- 檢查并禁用危險或未知端口。?
圖 6檢查打開的端口
?
- 確認挖礦程序已被刪除且無法恢復(fù)。如果它仍然存在,請重新安裝您的服務(wù)器操作系統(tǒng)。
,選擇
加固服務(wù)器
刪除礦工程序后,加強服務(wù)器以更好地防御入侵。
- 讓HSS在每天清晨自動掃描您的服務(wù)器和應(yīng)用程序,幫助您檢測和消除安全風(fēng)險。有關(guān)詳細信息,請參閱快速了解您的主機安全狀態(tài)。
- 為所有帳戶(包括系統(tǒng)帳戶和應(yīng)用程序帳戶)設(shè)置更強的密碼,或?qū)⒌卿浄绞礁臑榛诿荑€的登錄。
- 有關(guān)密碼設(shè)置的詳細信息,請參見如何設(shè)置安全密碼?
- 密鑰登錄請參見使用私鑰登錄Linux彈性云服務(wù)器。
- 嚴(yán)格控制系統(tǒng)管理員賬戶的使用。只授予應(yīng)用程序和中間件所需的最少權(quán)限,并嚴(yán)格控制它們的使用。
- 在安全組中配置訪問規(guī)則。僅打開必要的端口。對于特殊端口(如遠程登錄端口),只允許來自指定IP地址的訪問或使用VPN或堡壘主機建立自己的通信通道。有關(guān)詳細信息,請參閱安全組規(guī)則。
Windows 服務(wù)器
- 賬戶加固
措施
描述
程序
確保默認帳戶安全。
- 禁用用戶Guest。
- 禁用和刪除不必要的帳戶。(建議您禁用非活動帳戶三個月后再刪除它們。)
- 打開控制面板。
- 單擊管理工具。打開計算機管理。
- 選擇系統(tǒng)工具>本地用戶和組>用戶。
- 雙擊來賓。在Guest Properties窗口中,選擇Account is disabled。
- 單擊確定。
將僅具有必要權(quán)限的帳戶分配給用戶。
創(chuàng)建特定類型的用戶和用戶組。
示例:管理員、數(shù)據(jù)庫用戶、審計用戶
- 打開控制面板。
- 單擊管理工具。打開計算機管理。
- 選擇系統(tǒng)工具>本地用戶和組。根據(jù)需要創(chuàng)建用戶和組。
定期檢查并刪除不必要的帳戶。
定期刪除或鎖定不必要的帳戶。
- 打開控制面板。
- 單擊管理工具。打開計算機管理。
- 選擇系統(tǒng)工具>本地用戶和組。
- 選擇用戶或用戶組并刪除不必要的用戶或用戶組。
不顯示最后一個用戶名。
禁止登錄頁面顯示最新登錄的用戶。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>安全選項。
- 雙擊交互式登錄:不顯示最后一個用戶名。
- 在交互式登錄:不顯示最后一個用戶名屬性窗口中,單擊啟用,然后單擊確定。
- 密碼強化
環(huán)境
描述
程序
復(fù)雜
密碼必須滿足如何設(shè)置安全密碼?
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇帳戶策略>密碼策略。
- 啟用策略密碼必須滿足復(fù)雜性要求。
密碼最長使用期限
在靜態(tài)密碼驗證模式下,強制用戶每 90 天或更短的時間間隔更改一次密碼。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇帳戶策略>密碼策略。
- 將最長密碼使用期限設(shè)置為 90 天或更短。
帳戶鎖定政策
靜態(tài)密碼認證模式下,如果用戶連續(xù)10次認證失敗,則鎖定用戶帳號。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇帳戶策略>帳戶鎖定策略。
- 將帳戶鎖定閾值設(shè)置為10或更小。
- 授權(quán)加固
授權(quán)
描述
程序
遠程關(guān)機
僅將權(quán)限從遠程系統(tǒng)強制關(guān)閉分配給管理員組。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>用戶權(quán)限分配。
- 僅將權(quán)限從遠程系統(tǒng)強制關(guān)閉分配給管理員組。
本地關(guān)機
僅將關(guān)閉系統(tǒng)權(quán)限分配給管理員組。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>用戶權(quán)限分配。
- 僅將關(guān)閉系統(tǒng)權(quán)限分配給管理員組。
用戶權(quán)限分配
分配權(quán)限僅將文件或其他對象的所有權(quán)分配給Administrators組。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>用戶權(quán)限分配。
- 僅將關(guān)閉系統(tǒng)權(quán)限分配給管理員組。
登錄
授權(quán)用戶本地登錄計算機。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>用戶權(quán)限分配。
- 將允許本地登錄權(quán)限分配給您要授權(quán)的用戶。
從網(wǎng)絡(luò)訪問
僅允許授權(quán)用戶從網(wǎng)絡(luò)訪問此計算機(例如,通過網(wǎng)絡(luò)共享)。
- 打開控制面板。
- 單擊管理工具。打開本地安全策略。
- 選擇本地策略>用戶權(quán)限分配。
- 為您要授權(quán)的用戶分配從網(wǎng)絡(luò)訪問此計算機的權(quán)限。
文章鏈接: http://www.qzkangyuan.com/10337.html
文章標(biāo)題:服務(wù)器遇到挖礦攻擊該怎么解決?
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
