《记一次Linux被入侵全过程》阅读笔记

此前从未了解过关于网络安全相关方面的内容，仅仅知道安全性是软件必不可少的质量属性之一，而由于自己所做项目对安全性需求基本为无，所以很少对此进行关注。今天看到作者系统被入侵的经验，于是点开来读，以积累他人的经验，对此进行防范。

他们的服务器于某日早上发现被阿里云冻结，理由是：对外恶意发包，默认的22端口被封掉，通过其它端口直接连了上去，登录名为root，不足8位的小白密码，显然被黑了。

服务器所装的系统是CentOS 6.X，部署了nginx，tomcat，redis等，为减少损失，先把数据库全部备份到了本地，使用top命令查看发现有2个99%的同名进程正在运行：gpg-agentd。

Google 结果表明GPG 提供的 gpg-agent 提供对 SSH 协议的支持，是一个很正常的进程。然而服务器上运行的程序叫gpg-agentd，多了一个d，真是不错的伪装。找到可以程序之后，还有两个疑问是，文件是怎们传上来的？这个文件的目的又是什么？

在history中，历史记录全被清空，使用more messages命令来看，发现在半夜12点的时候，服务器上装了许多软件。crontab -e在计划任务中，找到了一些线索。在计划任务中，每隔15分钟都去下载一个脚本并执行达到黑客想要的目的。

通过这次经验，我认识到了服务器安全防护的重要，千万不要抱有侥幸心理。对服务器的安全建议有：

1. 禁用ROOT用户
2. 密码尽量复杂
3. 修改ssh默认的22端口
4. 安装DenyHosts防暴力破解软件
5. 禁用密码登录，使用RSA公钥