阿里云告警
系统环境
阿里云ECS Linux(命令行版)
服务器软件系统架构:nginx->jar
入侵过程
对外只开放的web端口(80和443),其它端口只限内网访问,但还是被黑了,经过排查是黑客利用了某Java开源框架漏洞,控制了正在运行的Jar,然后注入了wget命令下载frp等内网穿透工具,最终TCP连接到黑客服务器获取控制权
提示
且勿随意下载安全扫描软件,小心二次中招
光使用一种方法或者安全软件,很难彻底查杀后门,保护服务器
解决方法
1.打开阿里云安全中心,根据阿里云安全中心提示,手动找到木马文件,进行手动删除
2.注入RASP探针,保护所有正在运行的Java应用
3.阿里云云安全中心进行病毒查杀
4.所有web端口接入阿里云-WEB应用防火墙(按量付费即可,实际消耗一天30-50元左右)
Ali-CDN-Real-IP
5.主机接入阿里云-云防火墙(和WEB防火墙不一样)
6.通过混合云的方式接入腾讯主机安全
正则表达式禁止执行telnet和wget等危险命令
\b(wget|curl|telnet|nc|frpc|netcat|scp|rsync|php|rm\s+-rf\s+/)\b正则表达式禁止使用导出mysql数据库的命令
\b(mysql|mysqldump)\b
7.安装火绒Linux版(需要申请)
标签:Linux,端口,防火墙,阿里,wget,服务器,终极 From: https://blog.csdn.net/qq_40704513/article/details/136742879