【安全公告】关于近期互联网上minerd等挖矿病毒的安全公告

近期互联网上minerd,ddg等挖矿病毒肆虐，许多云服务器用户也纷纷中招，我们分析发现主要黑客通过redis(开通外网权限)、ssh(弱口令)、FTP这些方式植入病毒。
请大家做好安全配置：
1、有需要开通redis外网权限的，请修改redis端口，并通过防火墙限制该端口的许可IP地址
2、修改ssh默认端口，并定期修改ssh密码(16位以上)
3、有使用FTP的用户，建议所有帐户改成12位以上的复杂密码

注意：请确认有外网权限需求且仅允许特定IP访问时才做此安全配置，此方法也适用于所有端口的安全配置

Centos6系统下配置端口白名单:
#禁止访问6379端口

1. iptables -I INPUT -p tcp --dport 6379 -j DROP

复制代码

#允许192.168.0.1访问6379

1. iptables -I INPUT -s 192.168.0.1 -p tcp --dport 6379 -j ACCEPT

复制代码

#保存

1. /etc/init.d/iptables save

复制代码

Centos7系统下配置端口白名单:
#删除可能存在的放行的规则

1. firewall-cmd --permanent --zone=public --remove-port=6379/tcp
   
2. firewall-cmd --permanent --zone=public --remove-port=6379/udp

复制代码

#允许192.168.0.1访问6379

1. firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.0.1" port protocol="tcp" port="6379" accept'

复制代码

#重启防火墙使其生效

1. systemctl restart firewalld.service

复制代码

阿里云服务器上面好多“可疑矿机通信”，还有“可疑Host访问行为、Linux异常文件下载、SSH远程非交互式一句话异常指令执行、XorDDoS木马”....没用宝塔多久就这么多的高危提示，这是怎么了？新站刚部署没多久，也不是弱口令

hhiijj123 发表于 2018-2-20 20:54
阿里云服务器上面好多“可疑矿机通信”，还有“可疑Host访问行为、Linux异常文件下载、SSH远程非交互式一句 ...

在你使用面板过程中，面板会尝试连接官网获取面板版本，软件列表，插件列表等更新，
host访问行为和Linux异常文件下载可能是面板程序的正常行为
其它的，建议详细排查是否你服务器项目程序的行为。

在阿里云的安全组里设置了仅允许外网访问80端口，其他全部封禁。类似什么SSH FTP，甚至BT的8888全都限制了仅限我个人IP访问。
不知道有没有用。

阿里云服务器上面好多“可疑矿机通信”.还有“可疑Host访问行为.Linux异常文件下载.SSH远程非交互式一句话异常指令执行.XorDDoS木马”