木马防范

事前防范

  • 尽量减少用sudo用户数量

  • 督促各用户使用强密码(大小写、特殊符号等),尤其是sudo用户

  • 使用fail2ban防止暴力破解密码(默认错误5次ban十分钟)

    sudo apt-get install fail2ban
    sudo service fail2ban start

    如果sshd不是默认开在22端口,则在/etc/fail2ban中复制fail2ban.conf到fail2ban.local,然后在里面修改端口号

事后防范

如果已经中木马(并清除),需要检查是否还有显而易见的后门

  • 修改密码

  • 检查定时任务

    /var/spool/cron/* 
    /etc/crontab
    /etc/cron.d/*
    /etc/cron.daily/* 
    /etc/cron.hourly/* 
    /etc/cron.monthly/*
    /etc/cron.weekly/
    /etc/anacrontab
    /var/spool/anacron/*
  • 检查ssh免密登录(尤其是/root/.ssh/下可能出现多个authorized_keys开头的文件,多出来的可以全都删掉)

    /root/.ssh/authorized_keys*
    /home/*/.ssh/authorized_keys

Last updated