Là một chuyên gia Bảo mật CNTT, phản ứng thích hợp đối với bất kỳ rủi ro bảo mật nào của máy bị xâm nhập là: Vô hiệu hóa (các) hệ thống bị ảnh hưởng (tắt chúng hoàn toàn hoặc ngắt kết nối chúng khỏi mạng ngay lập tức và cách ly chúng nếu bạn có ý định mổ xẻ hệ thống và vi phạm), đồng thời kích hoạt nó khỏi quỹ đạo để làm sạch nó. Làm sạch nó, khôi phục những thứ quan trọng từ các bản sao lưu sạch sang bản cài đặt lại mới của hệ điều hành sạch.
Khi đã xong, bạn cần đảm bảo rằng tất cả các ứng dụng bạn có trên hệ thống này cần phải được làm cứng và khóa. Có khả năng nếu bạn đang chạy một ứng dụng web như Wordpress hoặc tương tự, bạn cần phải thường xuyên vá lỗi đó. Thêm một fail2ban giải pháp cho hệ thống của bạn và kích hoạt nó cho các ứng dụng khác nhau của bạn sẽ giúp ích để khi mọi thứ kích hoạt, chúng sẽ bị chặn tại tường lửa trong một khoảng thời gian do các nỗ lực tấn công đang diễn ra.
(Làm cứng hệ thống của bạn và các ứng dụng đúng cách là một thứ rất RỘNG, quá lớn đối với một bài đăng này và luôn là phân tích từng trường hợp/cơ sở phân tích phần thưởng rủi ro/chi phí, vì vậy chúng tôi thực sự không thể cung cấp cho bạn cách tốt nhất để làm cứng mọi thứ đúng cách.)
nếu bạn Thực ra muốn mổ xẻ những gì đang xảy ra, hãy cài đặt công cụ mạng trên máy bị ảnh hưởng, sau đó ngắt kết nối mạng.
Sudo apt cài đặt công cụ mạng
Khi đã xong, hãy chạy sudo netstat-atupen và tìm kiếm bất kỳ kết nối nào đi ra cổng 22 trên hệ thống của bạn và xem quy trình nào đang kích hoạt các kết nối cổng 22 ra bên ngoài. Cũng theo dõi điều đó và chạy nó nhiều lần nếu bạn cần đảm bảo rằng nó hiển thị, bởi vì không có mạng, nó có thể sẽ thử và không thành công ngay lập tức, vì vậy có thể cần chạy nó một vài lần.
Tuy nhiên, tốt hơn hết bạn nên xóa mọi thứ trên hệ thống và xây dựng lại từ đầu và giữ các bản sao lưu tốt hơn cho thông tin của bạn sẽ KHÔNG bị nhiễm phần mềm độc hại.
Ngoài ra, trừ khi bạn biết mình đang làm gì, bạn không nên lưu trữ máy chủ, v.v. trên mạng của riêng mình vì những loại sự cố này - hệ thống của chính bạn có thể bị xâm phạm nếu ngay cả một hệ thống trên mạng gia đình của bạn bị hỏng.
Để đặt chút cuối cùng của tôi ở đó vào quan điểm:
Ngay cả với kinh nghiệm của tôi, tất cả các máy chủ trên mạng của tôi chạy Internet đều được bảo vệ cứng để ngăn các máy chủ khác tiếp cận chúng và mạng của tôi được xây dựng dưới dạng mạng cấp Doanh nghiệp hoàn chỉnh với tường lửa được quản lý, bộ chuyển mạch được quản lý, v.v. có nghĩa là Internet của tôi các máy chủ phải đối mặt được cách ly thành các DMZ tương ứng và không thể kết nối với phần còn lại của mạng nơi có nhiều dữ liệu quan trọng hơn. Cách ly mạng và tăng cường độ cứng ở mức độ này đòi hỏi nhiều hơn những gì bạn sẽ nhận được ở cấp độ thiết bị 'dân dụng' và 'người tiêu dùng' mà bạn có thể nhận được, nó đòi hỏi nhiều thời gian, công sức và kiến thức hơn để thực sự cách ly với internet hệ thống để ngăn chặn các vi phạm lớn hơn, cũng như ghi nhật ký luồng mạng cho các hành vi mạng khác nhau, cũng như lọc danh sách intel đang hoạt động để chặn các tệ nạn đã biết. Nó không dành cho người yếu tim và cũng cần RẤT NHIỀU nỗ lực để duy trì hoạt động.
Hai trong số các máy chủ của tôi mà tôi chạy trong DMZ dành cho khách hàng của mình đã xuất hiện gần đây do các phiên bản Wordpress được vá không đúng cách. May mắn là tôi giữ các bản sao lưu cho chúng, vì vậy chúng tôi đã loại bỏ các phiên bản bị vi phạm, khôi phục từ các bản sao lưu sạch và sau đó tôi nhanh chóng dành sáu giờ trên mỗi máy để vá và củng cố lại chúng. Một phiên bản Wordpress chưa được vá duy nhất trên mỗi máy chủ đó đã dẫn đến việc các máy chủ đó bị xâm phạm và cố gắng phân phối Phần mềm độc hại mà IDS/IPS của tôi đã phát hiện ra - một lần nữa, đây là thiết lập mạng cấp Doanh nghiệp, vì vậy tôi có thời gian, cơ sở hạ tầng và tiền bạc để đặt vào đó tất cả các bảo vệ. Bạn sẽ không có điều này trên máy chủ trung bình hoặc thiết lập mạng dân cư của mình.
