Linux（centos7）常见安全、挖矿题目

一、安全设置

1．ssh修改默认端口号

修改ssh端口号需要关闭SELinux，不然无法绑定端口
1.1关闭SELinux 永久关闭方法
修改vim /etc/selinux/config文件中设置
SELINUX=disabled
重启服务器后见效。
1.2修改ssh设置文件

先添加一个端口号，确定能访问后，在注释掉22端口即可。其他暂时不用修改。
2．修改禁止root远程登录

注：禁用本地root用户之前，一定要先确保有一个具有root权限的其他账户，测试登录没题目后再操作禁用本地root用户。
1.新建一个用户dongdao
useradd dongdao
2.设置帐户test暗码
passwd dongdao
这里输入用户名dongdao的暗码
3.加入sudo的设置文件里
visudo
增加如下设置

生存退出即可，测试test用户登录就修改操作正常。
3. 禁止root远程登陆

vim /etc/ssh/sshd_config
找到 # PermitRootLogin yes
改为 PermitRootLogin no
重启sshd
二、挖矿病毒处理惩罚

1. 处理惩罚影藏高占用CPU进程

Top命令发现cpu占用很高，但进程里面没有发现题目。
可以安装htop 查看，（yum install htop）
先通过lastb -100 命令查看登录日记前100条，会发现许多异常登录信息，
查看异常自启使命crontab -l
编辑自启使命，crontab -e 删除不必要的自启使命
可以根据自启使命发现异常文件所在目录，删除文件，重启体系后
Top命令发现正常
2. 挖矿病毒（kdevtmpfsi）

挖矿病毒表现，cup占用非常高，

3、病毒处理惩罚（kinsing ，kdevtmpfsi）

找到相关进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi

通过kill -9 强制杀掉
删除掉kdevtmpfsi的相关文件
cd /tmp
ls
rm -rf kdevtmpfsi

发现文件属性已修改，不允许删除
当前使用的root用户，所以不存在权限题目，直接查看文件的属性
lsattr

看到文件有一个i的属性，i属性为设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。修改这个属性，就可以将文件删除
chattr -i kdevtmpfsi
又出现题目chattr无法修改文件属性

解决如下：
cd 进入目录
/usr/bin
实行如下操作
ls -lh chattr;lsattr chattr
cp chattr chattr.new
chmod a+x chattr.new
chattr.new -i chattr
rm -f chattr.new
chmod a+x chattr
ls -lh chattr;lsattr chattr

在重新修改kdevtmpfsi文件属性

修改成功后，实行删除命令

删除成功。
rm -rf /var/tmp/kinsing （此处没有kinsing文件，暂无教程）
末了自己可以再查抄一下是否还有kdevtmpfsi的相关文件，有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing

注意：
1.挖矿病毒是通过redis端口6379链接服务器，故假如在不必要的环境下，禁止暴露在公网，6379如需暴露需要设置强有力的账号和暗码。
2.将病毒文件里面涉及到的ip，在centos上禁止访问。（下面防火墙部分有说明）
4. 防火墙操作

生产环境，禁止关闭防火墙
#查看firewall状态，LINUX7默认是安装并开启的；
firewall-cmd --state
#安装
yum install firewalld
#启动,
systemctl start firewalld
#设置开机启动
systemctl enable firewalld
#关闭
systemctl stop firewalld
#取消开机启动
systemctl disable firewalld
#禁止IP(123.56.161.140)访问机器
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.161.140” drop’
#禁止一个IP段，比如禁止123.56..
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.0.0/16” drop’
#禁止一个IP段，比如禁止123.56.161.*
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.161.0/24” drop’
#禁止机器IP(123.56.161.140)从防火墙中删除
firewall-cmd --permanent --remove-rich-rule=‘rule family=ipv4 source address=“123.56.161.140” drop’
#允许http服务(对应服务计谋目录：/usr/lib/firewalld/services/)
firewall-cmd --permanent --add-service=http
#关闭http服务(对应服务计谋目录：/usr/lib/firewalld/services/)
firewall-cmd --permanent --remove-service=http
#允许端口:3389
firewall-cmd --permanent --add-port=3389/tcp
#允许端口:1-3389
firewall-cmd --permanent --add-port=1-3389/tcp
#关闭放行中端口:3389
firewall-cmd --permanent --remove-port=3389/tcp
#查看firewall的状态
firewall-cmd --state
#查看防火墙规则（只显示/etc/firewalld/zones/public.xml中防火墙计谋，在设置计谋前，我一般喜好先CP，以后方便直接还原）
firewall-cmd --list-all
#查看所有的防火墙计谋（即显示/etc/firewalld/zones/下的所有计谋）
firewall-cmd --list-all-zones
#重新加载设置文件
firewall-cmd --reload
#更改设置后一定要重新加载设置文件：
firewall-cmd --reload

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。