如何管理你的服务器上的安全漏洞
现代服务器经常运行大量的软件应用程序。
在我们的案例中,我们在服务器上使用Docker来运行多个服务。
其中一个服务,Gitlab,有一个安全问题(Gitlab workhorse更具体)。
这导致了木马病毒感染。(在我们的案例中,这些二进制文件被称为 "wate",如果这对某人来说很重要的话--尽管这也可能是纯粹的随机名称)。
由于我们的主机商Hetzner关闭了我们的IP(并发送了一些警告信息),我们才意识到这一点。该木马程序被用作对一个中国IP的DDoS攻击的一部分,并产生了可疑的数据包数量。
我们采取了行动,由于这种情况,出现了一些有用的知识。
幸运的是,服务器可以通过一个不同的IP到达(顺便说一下,Hetzner还允许你将一个IP列入白名单2小时,所以你甚至可以用一个IP的服务器工作)。
以下是诊断此类安全漏洞的一些关键提示
- 不要惊慌.在关闭服务器之前,先确保docker日志的安全(可能还需要创建一个备份)--你可能需要这些日志来诊断问题。
- 检查哪些用户最后一次登录/是否有新的账户被创建
- 在你的服务器上使用一个病毒扫描器(在Docker的主机操作系统上)。我们使用了 蛤蜊 以找到木马。
- 注意:如果你也在运行一个邮件服务器(像我们一样),病毒扫描器可能也会发现很多可疑的邮件。
- 使用rootkit扫描器--我们使用的有两种。 rkhunter 和 淘宝网
- 使用 htop 来找出哪些进程正在加载服务器
- 使用网络流量监控工具
- 通过ps -aux的输出,查看任何可疑的进程。
我的建议是 之前 关闭容器时,你将创建一个ps -aux | grep wate(在我们的例子中)的转储,以查看正在运行的木马进程,然后在再次关闭它之后。
这样,你就能向自己确认,安全漏洞已被控制,而且这些进程没有扩散到Docker容器之外。
WordPress的性能问题
在这种情况下,我们也遇到了一些WordPress的性能问题--而服务器的主要IP被封锁了。
在Hetzner解除了我们的IP封锁后,性能问题就消失了。(我们最初的怀疑是在WordPress容器中出现了漏洞。)
为避免今后出现这种情况而采取的行动
- 我们要设置容器的自动更新。我姐姐的男朋友向我推荐了Docker "Watchtower "容器。
- 有一个工具叫做 琳妮斯 这是一个安全审计工具,我们将研究一下。
- 在服务器上对SSH使用公钥/私钥认证。具体限制哪些账户可以登录
- 使用SaaS审计服务/扫描器--我们正计划定期运行这个服务。
- 开始创建滚动备份,如果你还没有做的话--这样你就可以回到过去的日期。
犯错并不可耻--现代IT是一项复杂的工作。只要你不断地从情况中学习,用不同的方法解决IT问题(以及一般的生活),就会有成长和前进。生活。
幸运的是,大多数情况是可以管理和扭转的。我们希望你确实有备份,并能从你的情况中恢复。
祝您好运,感谢您阅读此文。