Назад | Перейти на главную страницу

Как избежать заражения вирусом крипто-майнера

Я собираюсь установить новый сервер ubuntu после заражения этим вирусом https://askubuntu.com/questions/1115770/crond64-tsm-virus-in-ubuntu .

При установке нового VPS я собираюсь установить clamav и следовать этим советам по защите: https://www.eurovps.com/blog/20-ways-to-secure-linux-vps/

Достаточно ли этого или есть какие-то другие советы в целом или конкретно по этому вирусу, которые я должен применить к новому VPS?

Спасибо

Если вы действительно скомпрометированы, самое важное - это провести всесторонний анализ первопричин. См. Канонический вопрос по этой теме: Как мне поступить с взломанным сервером? Посмотрите, какие процессы и технические средства контроля дали сбой для каждой системы. Это займет много времени, но стоит того, чтобы не повторять эти ошибки снова.

После того, как вы усвоили уроки, да, восстановление с чистой заведомо исправной операционной системы - разумное решение.

  • Регулярно обновляйте свое программное обеспечение. Операционная система и приложение.
  • Устанавливайте программное обеспечение только из источников, которым вы доверяете. Помните, что ваша цепочка поставок программного обеспечения может быть уязвима для слабой защиты разработчиков.
  • Предоставляйте пользователям только те оболочки, которым вы доверяете.
  • Используйте ключи ssh и полностью отключите пароли.
  • Обратите внимание на время последнего входа в систему, которое было не вами или вашей командой, либо выходило за пределы вашего обычного IP-пространства.
  • Мониторинг использования ресурсов, 100% ЦП - это плохо.

И так далее. Безопасность - это нечто большее, но важная ее часть - это гигиена.

Некоторые советы EuroVPS ошибочны.

  • IPv6 должен быть включен.

    • Лучше установить надлежащие элементы управления, чем игнорировать v6, потому что она никуда не денется.
    • Злоумышленники не могут сканировать все адресное пространство, например v4. Им, как и всем остальным, придется найти ваш DNS.
    • 30% глобального трафика Google составляет IPv6.
    • IPv6 быстрее, чем v4 во многих сетях

  • Сложность пароля, состоящая из буквенно-цифровых символов, устарела. NIST 800-63B говорит, что разрешает очень длинные пароли, запрещает словарные слова и предыдущие взломы, но не предъявляет особых требований к буквенно-цифровым значениям. Последнее легко взломать компьютерам, но трудно запомнить людям.

  • Не вижу смысла менять порт ssh. Вы можете избежать некоторого шума при сканировании методом грубой силы. Но на самом деле не имеет значения, защищаете ли вы свои ssh-ключи, не используете ли пароли и запрещаете некорректные IP-адреса на брандмауэре.