近期小编发现很多小伙伴项目沟通反馈,非常大安全攻击都是由于公网和内部管理问题导致、端口暴露、SQL注入、暴力破解、CC共计、数据删除、勒索木马病毒、CPU/内存爆满100%,无法ssh登陆机器,机器卡死等等一系列安全问题,特分享以下安全建议,供技术交流探讨,谢谢
安全防范建议:
1)定期 备份/快照 关键数据定期备份、快照,这是防范勒索类恶意软件的最佳方式。
2) 服务器设置大写、小写、特殊字符、数字组成的 12-16 位的复杂密码 ,
推荐使用密码生成器,自动生成复杂密码,链接参考: https://suijimimashengcheng.51240.com/
3) 删除服务器上设置的不需要的用户
4) 对于不需要登录的用户,请将用户的权限设置为禁止登录
5) 修改远程登录服务的默认端口号以及禁止超级管理员用户登陆 Windows 远程端口修改参考文档: https://cloud.tencent.com/developer/article/1052163 Linux 远程端口修改参考文档: https://cloud.tencent.com/developer/article/1124500
6) 安全的方法:只使用密钥登录禁止密码登陆 (针对 Linux 系统)
或者安全组ACL只设置本地一个 公网IP访问云服务器ssh(22)/rdp(3389)端口
7) 云主机有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口
参考文档: https://cloud.tencent.com/document/product/215/20398
8) 不建议向公网开放核心应用服务端口访问,例如 mysql、 redis 等,
您可修改为本地访问或禁止外网访问 。针对 redis 漏洞可以参考 https://www.freebuf.com/column/170710.html
9) 不建议向公网开放运维工具的访问,例如宝塔面板、 phpmyadmin 等。
针对 phpmyadmin漏洞可以参考 https://www.cnblogs.com/M0rta1s/p/11517423.html
10) 如果您的本地外网 IP 固定,建议使用安全组或者系统防火墙禁止除了本地外网 IP 之外所有 IP 的登录请求
需注意: A. 做好云服务器系统的安全防护可以有效加强云服务器系统安全, 但也无法保证绝对安全。 B. 建议定期做好云服务器系统的安全巡检及数据备份,以防突发情况导致数据丢失、或业务不可用。 C. 收到主机安全的告警通知,务必第一时间登录云平台进行处置
11)云平台的过期账户及时清理;减少人员流动账户权限风险。
12)有空观看服务器外网带宽/CPU内存近24小时运行情况,检查是否有异常显示
有条件的用户可以选择升级主机防护,购买安全运营中心,防止云上资源被扫描或被黑客入侵,降低黑客攻击风险。
13)用好【云监控】,规避85%以上安全事件,业务主机级应用安全,往往都有异常
如【内/外网带宽】、【对内/外发送数据包】、【CPU及内存占用率】异常爆增等,持续触发5次以上,建议业务主机安全观察评估;可以结合【安全运营中心】或者【主机安全专业版】提供相关防护方案;
14)开通【云防火墙】集成有IPS主动防护系统
,能够抵御外部恶意攻击流量,也能监控和内网主机异常流量,实现云内和云边界的安全访问。
15)近期受勒索病毒,主机安全影响,
建议:开启主机安全专业版 云防火墙普惠10元/月版本,先查杀,封禁非业务端口,尤其是常用22端口、3389、3306、21端口不要直接开放0.0.0.0/0任意ip访问,最好设置仅限于自己idc或者办公公网IP访问设置,最好修改规避非常用端口,例如将22端口修改为:2233端口等;查杀,修复检查,重装系统等;
免费云监控:云监控 _ 云产品数据监控_云产品异常告警 - 腾讯云 (tencent.com)
事后:
如加密前没有备份或快照、黑客持有私钥其他人是无法解密的,最快的办法是用公共镜像重装系统后设置复杂密码和严格的安全组限制,然后找以前本地留有的数据重新部署业务
如数据很重要,目前有以下办法进行尝试: 1,通过第三方进行尝试解密: 【360】 勒索病毒搜索引擎,支持检索超过800种常见勒索病毒 https://lesuobingdu.360.cn/ 【腾讯】 勒索病毒搜索引擎,支持检索超过 300 种常见勒索病毒 https://guanjia.qq.com/pr/ls/ 【启明】VenusEye勒索病毒搜索引擎,超300种勒索病毒家族 https://lesuo.venuseye.com.cn/ 【奇安信】勒索病毒搜索引擎 https://lesuobingdu.qianxin.com/ 【深信服】勒索病毒搜索引擎 https://edr.sangfor.com.cn/#/information/ransom_search
勒索软件解密工具集:
【腾讯哈勃】勒索软件专杀工具 https://habo.qq.com/tool/index 【金山毒霸】勒索病毒免疫工具 http://www.duba.net/dbt/wannacry.html 【火绒】勒索病毒解密工具集合 http://bbs.huorong.cn/thread-65355-1-1.html 【瑞星】解密工具下载 http://it.rising.com.cn/fanglesuo/index.html 【nomoreransom】勒索软件解密工具集 https://www.nomoreransom.org/zh/index.html 【MalwareHunterTeam】勒索软件解密工具集 https://id-ransomware.malwarehunterteam.com/ 【卡巴斯基】免费勒索解密器 https://noransom.kaspersky.com/ 【Avast】免费勒索软件解密工具 https://www.avast.com/zh-cn/ransomware-decryption-tools 【Emsisoft】免费勒索软件解密工具 https://www.emsisoft.com/ransomware-decryption-tools/free-download
2,找第三方数据恢复公司进行数据恢复(例如腾讯云市场里面的)。
3,尝试第三方数据恢复软件尝试找回,比如第三方软件:https://www.diskgenius.cn/
Ransomware 勒索病毒解决方案: 一.勒索病毒判断引擎(根据加密后文件后缀检索) 1、【360】 勒索病毒搜索引擎,支持检索超过800种常见勒索病毒:https://lesuobingdu.360.cn/ 2、【腾讯】 勒索病毒搜索引擎,支持检索超过 300 种常见勒索病毒:https://guanjia.qq.com/pr/ls/ 3、【启明】VenusEye勒索病毒搜索引擎,超300种勒索病毒家族:https://lesuo.venuseye.com.cn/ 4、【奇安信】勒索病毒搜索引擎:https://lesuobingdu.qianxin.com/ 5、【深信服】勒索病毒搜索引擎:https://edr.sangfor.com.cn/#/information/ransom_search
二.判断为可解密勒索。勒索病毒解密工具集:(可解密勒索) 1、【腾讯哈勃】勒索软件专杀工具:https://habo.qq.com/tool/index 2、【金山毒霸】勒索病毒免疫工具:http://www.duba.net/dbt/wannacry.html 3、【火绒】勒索病毒解密工具集合:http://bbs.huorong.cn/thread-65355-1-1.html 4、【瑞星】解密工具下载:http://it.rising.com.cn/fanglesuo/index.html 5、【nomoreransom】勒索软件解密工具集:https://www.nomoreransom.org/zh/index.html 6、【MalwareHunterTeam】勒索软件解密工具集:https://id-ransomware.malwarehunterteam.com/ 7、【卡巴斯基】免费勒索解密器:https://noransom.kaspersky.com/ 8、【Avast】免费勒索软件解密工具:https://www.avast.com/zh-cn/ransomware-decryption-tools 9、【Emsisoft】免费勒索软件解密工具:https://www.emsisoft.com/ransomware-decryption-tools/free-download
定向勒索病毒解密工具 1、Wannacry(ms17-010) :https://habo.qq.com/tool/detail/searchdky 2、XData:https://habo.qq.com/tool/detail/xdatacrack 3、CCleaner:https://habo.qq.com/tool/detail/ccleaner_ghost_killer 4、Allcry:https://habo.qq.com/tool/detail/allcrykiller 5、TeslaCrypt:https://habo.qq.com/tool/detail/teslacrypt 6、ALLcry:https://habo.qq.com/tool/detail/allcrykiller 7、powerware:https://habo.qq.com/tool/detail/ransomware_recovery_tools 8、Hakbit:https://github.com/RedDrip7/Hakbit_decryptor
三.判断为不可解密勒索:建议事前使用定期快照策略建立数据灾备,事后实时数据还原即可