Назад | Перейти на главную страницу

Выделенный сервер поражен вирусами

После установки выделенного сервера я был поражен множеством вирусов. Один будет съедать мою полосу пропускания, а другой в настоящее время рассылает троянов на любую исходящую почту с моего почтового сервера.

Есть ли способ настроить сервер, чтобы этого не произошло? У меня установлен ClamAV, у меня заблокированы IP-адреса в iptables. Но этого, похоже, недостаточно.

Мне просто интересно, что делают другие люди, когда настраивают выделенный сервер.

Спасибо!

Похоже, вы говорите о руткитах, троянах и червях, а не о вирусах (поскольку это похоже на сервер Linux, а не на ящик MSWindows).

ClamAV - это антивирусный инструмент, хотя он каким-то образом обнаруживает другие типы вредоносных программ, его возможности очень ограничены. В самом деле, если вы не запускаете самбу на сервере (что было бы действительно глупо) или разрешаете кому-либо загружать файлы (опять же, глупо), нет смысла использовать ClamAV.

Первое, что нужно сделать, это очистить сервер и переустановить его с исходного носителя. Затем выполните обычные шаги по повторной установке служб (т.е. убедитесь, что вы не устанавливаете те же бэкдоры из резервных копий).

Я бы порекомендовал получить некоторую компетентную помощь, чтобы укрепить сервер - для обеспечения относительной безопасности системы не должно потребоваться больше дня (при условии, что вы уже убедились, что все, что вы восстановили из резервной копии, безопасно). Частично это будет включать блокировку любого удаленного доступа администратора, особенно через ssh.

Вам также следует инициировать регулярное резервное копирование и запуск rkhunter / chkrootkit.

Плохие новости:

  • Чтобы запустить публичный сервер тебе нужно знать, что ты делаешь, чтобы узнать, что вам нужно запустить общедоступный сервер (да, вы можете узнать о том, что необходимо, но у вас не будет такого же опыта, только теоретические основы - которые вам все равно нужны - ПРИМЕЧАНИЕ: я не говорю, что вы следует просто запустить публичный сервер без предварительных теоретических знаний)
  • Чтобы надежно очистить взломанный сервер, единственный способ быть уверенным - это полная установка с нуля

Основные вещи для защиты сервера:

  • не разрешать удаленный вход по незашифрованным каналам (telnet)
  • не разрешать удаленный вход root (никогда!)
  • не разрешать вход по паролю
    • если вы не можете обойтись без входа на основе пароля, обязательно используйте надежный пароль
  • по умолчанию ваш брандмауэр должен заблокировать все входящие и исходящие соединения
  • предоставить доступ на основе реальных требований (вы действительно хотите разрешить все исходящие соединения или, скорее, только соединения, которые уже связаны с чем-то, что поступило через разрешенный порт)
  • не выполняйте перечисление вредоносных программ (не отправляйте строки файла журнала, которые выглядят подозрительно, а лучше отправляйте строки файлов журнала, которые не соответствуют «заведомо исправному» шаблону - есть инструмент, который может сделать это за вас: проверка журнала)
  • подпишитесь на список безопасности используемых пакетов / дистрибутивов и установите обновления, как только они станут доступны
    • по крайней мере регулярно устанавливайте обновления безопасности - еженедельно (минимум ежемесячно)! Устанавливать каждые 3 месяца или каждый год недостаточно (аргумент о том, что это может вызвать простои и что это слишком дорого, не считается. Если ваша услуга настолько ценна, вам в любом случае необходимо иметь избыточность и тестовые среды, чтобы вы всегда могли закрыть ее хост вниз одновременно)

Звучит как много, но на самом деле все это очень приятно писать скриптом (при условии, что Debian / Linux). Я почти уверен, что это также можно легко сделать в другой ОС, но мой основной env - это Debian, поэтому я знаю, как это сделать с помощью инструментов, предоставляемых самим дистрибутивом.

Прежде всего, выясните, откуда у вас вирусы, неосведомленные пользователи? Приложения? Почта? Сетевой диск?

  • Установите пользователей, пароли и разрешения. Существует множество стратегий для защиты вашей системы, но оставайтесь простыми и просто закрывайте все, пока это кому-то не понадобится.
  • Ведите журналы приложений и того, что делают ваши пользователи.
  • Иметь портфолио приложений и пользователей
  • Не используйте сервер для проверки почты, общения в чате или игр. Не позволяйте никому использовать его, только его услуги.

Сделайте это простым и чистым.

Сейчас я бы порекомендовал вам отформатировать и снова получить сервер с нуля. По моему опыту, я не обнаружил необходимости в антивирусе на окнах mi windows, просто сохраняйте контроль над своим сервером.

Какую ОС вы используете?