发现异常立即隔离,保留现场用于溯源,修复漏洞后恢复服务,并部署主动防御机制。
# 1. 紧急隔离(断网)
sudo ifconfig eth0 down
# 或使用 iptables 阻断所有入站
sudo iptables -P INPUT DROP# 2. 异常检测
# 检查失败登录
sudo grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr# 查看可疑进程
ps auxf | grep -E '(curl|wget|bash|sh|\./)'# 查看网络连接
netstat -antulp | grep ESTABLISHED# 3. 保留证据
# 内存快照(需 root)
sudo dd if=/dev/mem of=/tmp/mem.dump bs=1M# 日志打包
sudo tar czf /tmp/logs_$(date +%s).tar.gz /var/log/# 4. 安全加固:安装 Fail2ban 自动封禁
cat <<EOF | sudo tee /etc/fail2ban/jail.local
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400
EOF
sudo systemctl restart fail2ban# 5. 恢复服务前验证备份完整性
sha256sum -c backup.sha256# 6. 启用最小权限安全组(示例:仅允许指定 IP 访问 SSH)
# 在云控制台配置,或使用 Terraform:
# resource "aws_security_group_rule" "allow_ssh" {
# type = "ingress"
# from_port = 22
# to_port = 22
# protocol = "tcp"
# cidr_blocks = ["你的管理IP/32"]
# security_group_id = aws_security_group.main.id
# }
环境部署:
雨云:云服务器,签到一个月送一周,签到两个月送半个月,以此类推,点击注册。