部署外网网站（三）——云服务器安全策略和突发状况应对

云服务器上，root用户被黑了，密码还被人改了咋办?

前言

上次说到，root用户被黑这个问题，一开始我还以为又是腾讯跟我推销啥防火墙安全软件之类的，实际上是root用户的密码被国外的ip猜到了，然后往我的服务器上上传了一个挖矿脚本，并修改了我root用户的密码，想控制服务器成为挖矿肉鸡（可这也不是GPU服务器，连个显卡都木的）。

也怪我的防范意识不强，在购买云服务器的当天下午，图省事，修改了root的密码为123456（属实是我nt了，以后再也不敢用了，淦），把xshell和sftp连接上，。然后国外的ip尝试连接后就连上了，再然后我就没法再进入最高权限了。我只有腾讯云提供的用户，那又没法吧root的用户给改密码。但是这种攻击属于大范围无差别的攻击，针对性不强，而且我的服务器是新机器，并没有存放数据，也没有安装什么软件之类的，所以说重装还是可行的，几乎没啥影响。

应对方法

隔离木马文件，关闭系统

首先打开腾讯云的控制台页面，隔离提示的危险文件，关闭系统，这是为了防止木马对系统可能造成的进一步破坏，然后关闭系统或者网络，让服务器脱离国外ip的控制。

因为缺乏防范意识和应对知识，当时确是比较慌张的，搜了很多的关于root用户被黑怎么办，root用户密码忘记了怎么办。又是重启系统进入系统单用户模式，又是光盘救援，但我这是云服务器，没有图形界面，也没有光盘，显然不大现实，所以我选择求助腾讯云用户经理。。。

重置密码

我现在只能控制默认的一般用户，怎么能重置root的密码呢，但在腾讯云的服务网页上，我还是有最高权限的，在云服务控制台——实例里，服务器有个更多的选项，可以更改密码，无论是普通用户还是root，也可以设置秘钥登录。更改密码需要微信进行扫码认证，需要较高的权限。

扫码后，出现下面的界面，选择系统默认或者其他的，输入用户名和密码就改完了，相当简单快捷。

重装系统

由于担心root用户被国外ip连接修改了系统或者后台开启了什么未知进程，还是重装系统的好，重装系统不会将之前改过的密码重置，但会把之前在云服务器安装的软件和配置都重置，不过好在我都没有，就没什么顾虑了。过程也是相当简单快捷

禁止root用户ssh远程登录

因为担心root用户被暴力破解之类的，还是直接把root用户远程登录禁用了比较好，需要sudo权限时申请。
1、修改相关文件

vi /etc/ssh/sshd_config

SSH执行以上命令，修改sshd_config文件

2、禁止root登陆

查找#PermitRootLogin yes，将前面的“#”去掉，短尾“Yes”改为“No”，并保存文件。

3、重启sshd服务生效。

禁用22号端口进行ssh登录

禁用22号端口这个是我最近才弄得，之前没感觉22号端口会有这么多ip尝试连接登录，下面是我8月份，一整个月的尝试连接数，每个ip大概有几十几百次的攻击，一共260页，一页有10条，算一页有1000-2000次，这也有几十万次的尝试连接了，生成的文本文件有160M，淦！还是直接禁用22号端口，让他们去猜去吧。

方法步骤：

1. 进入ssh配置文件，将注释删掉，添加你想要的端口，以3389为例（可以用命令netstat -anp | grep 端口号来查看有没有被占用，如果没有输出则无占用，该端口可用）

sudo vim /etc/ssh/sshd_config 

取消注释端口22，并添加你要的端口，先不要删掉22，以防无法连接到远程

2. 在防火墙上放开端口

iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 3389 -j ACCEPT
iptables-save

3. 重启ssh服务

systemctl restart sshd.service

可以输入以下命令查看ssh新端口号有没有添加上

netstat -tunlp | grep “ssh”

4. 以上步骤完成后，测试一下
   
   连接成功
5. 然后在进入第一步把22端口删掉，重启ssh，然后重新连接一下22接口，发现连不上了，证明成功了。
   

另外提一句，我禁用了22端口，又禁用了root远程登录，那我要操作root文件咋办，推荐使用宝塔，8888端口，稳得一。

安全知识和策略

转自https://www.cnblogs.com/lidong94/p/7161793.html

处理服务器遭受攻击的一般思路

系统遭受攻击并不可怕，可怕的是面对攻击束手无策，下面就详细介绍下在服务器遭受攻击后的一般处理思路。
（1）切断网络
所有的攻击都来自于网络，因此，在得知系统正遭受黑客的攻击后，首先要做的就是断开服务器的网络连接，这样除了能切断攻击源之外，也能保护服务器所在网络的其他主机。
（2）查找攻击源
可以通过分析系统日志或登录日志文件，查看可疑信息，同时也要查看系统都打开了哪些端口，运行哪些进程，并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面会详细介绍这个过程的处理思路。
（3）分析入侵原因和途径
既然系统遭到入侵，那么原因是多方面的，可能是系统漏洞，也可能是程序漏洞，一定要查清楚是哪个原因导致的，并且还要查清楚遭到攻击的途径，找到攻击源，因为只有知道了遭受攻击的原因和途径，才能删除攻击源同时进行漏洞的修复。
（4）备份用户数据
在服务器遭受攻击后，需要立刻备份服务器上的用户数据，同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中，一定要彻底删除，然后将用户数据备份到一个安全的地方。
（5）重新安装系统
永远不要认为自己能彻底清除攻击源，因为没有人能比黑客更了解攻击程序，在服务器遭到攻击后，最安全也最简单的方法就是重新安装系统，因为大部分攻击程序都会依附在系统文件或者内核中，所以重新安装系统才能彻底清除攻击源。
（6）修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后，首先要做的就是修复系统漏洞或者更改程序bug，因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
（7）恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上，然后开启服务，最后将服务器开启网络连接，对外提供服务。
 
https://blog.csdn.net/xiaoyun2019/article/details/101675378

提升云服务器安全从哪些方面开始？

1.账号和密码保护
账号和密码保护可以说成服务器系统的保障系统，现在网上大多数对服务器系统的攻击都是以拦截或推测账户密码开始，通常一些人为了方便记忆将服务器密码设置成1234566等一些较为简单的账户密码，反而在业务上线第2天便出了问題，必须要设定多种字符复杂一点的账户密码。
2.及时安裝系统补丁
不管是Windows或是Linux，任何系统软件都有漏洞，及时的打上补丁防止漏洞被蓄意攻击利用，是服务器安全最关键的保证之一。
3.双重认证
在允许用户浏览网站前可以会有两中使用模式。因此除了用户名和密码之外，唯一验证码同样是必不可少的。这一验证码可能是以短信的方式发送至你的手机，然后进行登录。利用这种方式 ，即便其它人获得了你的凭证，但他们获得唯一验证码，这样的他们的登录就会遭到拒绝。
4.安裝和设定服务器防火墙
服务器防火墙对于非法浏览有着很好的预防功效，可是安装了服务器防火墙并不一定服务器安全了。在安裝服务器防火墙以后，你必须依据自己的网络环境，对服务器防火墙进行适当的配置以达到最好的防护作用。
5.监测系统日志
利用运作系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。利用对日志程序报表进行研究，你可以了解是不是有异常情况。
6.端口管理
在业务运作过程中，把不需要用到和暂时用不上的端口关掉，这样能大大的提升云服务器安全性。
7.使用正版软件
云服务器在使用中，会用到多种多样的软件，例如ssh，ftp等等，在使用这类软件的时候必须要使用官方下载的软件，切忌使用网上搜索到的各种破解版，通常在你连接的那一刻账户密码也到了软件破解者的手上。

总结

经过了此次突发事件，让我清醒了认识了密码安全的重要性，也了解了其他的网络安全知识，腾讯云的网页一件重装还有界面更改密码属实顶，三两下就解决了问题。平时也要格外注意这个密码安全，设置太简单的密码很容易被攻击，几乎是无成本攻击，要是真的是那些针对性的攻击，给你把服务器掀了也不是不可能