立即采取措施遏制攻击并杀死挖矿程序,防止矿工占用CPU或影响其他应用程序。
您还应该强化服务器以更好地阻止入侵。
检查和清除挖矿程序
以下思维导图描述了如何识别挖掘程序及其入侵的根本原因。
登录管理控制台。
在页面左上角选择地域,单击,选择安全合规>主机安全服务。
检查异常进程行为事件。?选择入侵>事件。在事件区域中,单击异常进程行为。单击事件操作列的?句柄。图2处理异常进程行为
检查计划任务。您的一些计划任务可能是由攻击者创建的,用于定期下载挖矿程序或运行挖矿脚本。?
选择扫描>资产,然后单击自动启动。在下拉列表中,选择定时任务,检查并停止可疑任务。
检查自动启动项。您的一些自动启动项可能是由攻击者创建的,用于在服务器重新启动时启动挖掘程序。?
选择扫描>资产,然后单击自动启动。筛选并检查Autostartedservice、Preloadeddynamiclibrary、Runregistrykey和Startup文件夹项。
检查并终止可疑进程。?图5检查可疑进程
检查并禁用危险或未知端口。?图6检查打开的端口
确认挖矿程序已被删除且无法恢复。如果它仍然存在,请重新安装您的服务器操作系统。
加固服务器
删除矿工程序后,加强服务器以更好地防御入侵。
让HSS在每天清晨自动扫描您的服务器和应用程序,帮助您检测和消除安全风险。有关详细信息,请参阅快速了解您的主机安全状态。
为所有帐户(包括系统帐户和应用程序帐户)设置更强的密码,或将登录方式更改为基于密钥的登录。
有关密码设置的详细信息,请参见如何设置安全密码?
密钥登录请参见使用私钥登录Linux弹性云服务器。
严格控制系统管理员账户的使用。只授予应用程序和中间件所需的最少权限,并严格控制它们的使用。
在安全组中配置访问规则。仅打开必要的端口。对于特殊端口(如远程登录端口),只允许来自指定IP地址的访问或使用VPN或堡垒主机建立自己的通信通道。有关详细信息,请参阅安全组规则。
使用HSS全面检查和消除安全风险。提高您的帐户、密码和授权安全性。
账户加固
禁用用户Guest。
禁用和删除不必要的帐户。(建议您禁用非活动帐户三个月后再删除它们。)
打开控制面板。
单击管理工具。打开计算机管理。
选择系统工具>本地用户和组>用户。
双击来宾。在GuestProperties窗口中,选择Accountisdisabled。
单击确定。
将仅具有必要权限的帐户分配给用户。
创建特定类型的用户和用户组。
示例:管理员、数据库用户、审计用户
打开控制面板。
单击管理工具。打开计算机管理。
选择系统工具>本地用户和组。根据需要创建用户和组。
定期检查并删除不必要的帐户。
定期删除或锁定不必要的帐户。
打开控制面板。
单击管理工具。打开计算机管理。
选择系统工具>本地用户和组。
选择用户或用户组并删除不必要的用户或用户组。
禁止登录页面显示最新登录的用户。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>安全选项。
双击交互式登录:不显示最后一个用户名。
在交互式登录:不显示最后一个用户名属性窗口中,单击启用,然后单击确定。
密码强化
密码必须满足如何设置安全密码?
打开控制面板。
单击管理工具。打开本地安全策略。
选择帐户策略>密码策略。
启用策略密码必须满足复杂性要求。
在静态密码验证模式下,强制用户每90天或更短的时间间隔更改一次密码。
打开控制面板。
单击管理工具。打开本地安全策略。
选择帐户策略>密码策略。
将最长密码使用期限设置为90天或更短。
静态密码认证模式下,如果用户连续10次认证失败,则锁定用户帐号。
打开控制面板。
单击管理工具。打开本地安全策略。
选择帐户策略>帐户锁定策略。
将帐户锁定阈值设置为10或更小。
授权加固
仅将权限从远程系统强制关闭分配给管理员组。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>用户权限分配。
仅将权限从远程系统强制关闭分配给管理员组。
仅将关闭系统权限分配给管理员组。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>用户权限分配。
仅将关闭系统权限分配给管理员组。
分配权限仅将文件或其他对象的所有权分配给Administrators组。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>用户权限分配。
仅将关闭系统权限分配给管理员组。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>用户权限分配。
将允许本地登录权限分配给您要授权的用户。
仅允许授权用户从网络访问此计算机(例如,通过网络共享)。
打开控制面板。
单击管理工具。打开本地安全策略。
选择本地策略>用户权限分配。
为您要授权的用户分配从网络访问此计算机的权限。
标签:
