※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2013-11-18 16:11:35
看板 Linux
作者 標題 [問題] 工作站遭攻擊時之應對方法
時間 Wed Nov 6 19:04:34 2013
小弟我現在用的系統是 CentOs 5.8
之前因為某單位訪查做了以下措施
1.存放製程資料之設備關閉HTTP服務
2.非傳輸製程資料期間,存放製程資料之設備關閉FTP檔案傳輸服務
但忘記為何原因而關閉了防火牆
今天電算中心告知我有一台工作站遭到外來攻擊
查詢IP是來自大陸和美國,且疑似有流量異常現象
電算中心做以下建議:
1.檢查防火牆開啟否
2.安裝軟體掃毒
3.重灌整個系統
因為工作站有些機密資料擔心外洩(內容不方便透露),所以有去問資工系的同學
我資工系的同學認為可能是隨意找目標攻擊
我爬文發現防毒軟體安裝似乎有點多餘?
我目前是已經重開防火牆,且設定僅信任ssh(port22可連線)
那我還有其他需要做的嗎?
是否真的需要做電算中心所說的措施嗎?
因為真的對工作站管理沒有很了解,只想說能用就好
還請版上高手提供意見
感謝
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.130.21.106
推 :改ROOT密碼、檢查工作排程跟執行程序1F 11/06 20:41
推 :1.資料先確保 2.系統重灌 3. ssh/ftp 帳號鎖IP 其餘全關全擋2F 11/06 21:43
→ :sshguard denyhosts3F 11/06 22:18
推 :有機密資料還是去找專業的來吧...4F 11/06 22:27
→ :port knocking5F 11/07 00:28
→ :這建議看看就好 因為Win機器很多 所以...6F 11/07 02:38
推 :ssh 改用 key 登入 拿掉 password 認證7F 11/07 02:39
→ :是說可以的話非校內IP全擋會安全得多8F 11/07 02:40
推 :推danny8376..9F 11/07 15:44
→ :先看看流量異常到底是人家進來還是出去還是session數..
→ :還是根本是罐頭訊息 O_o
→ :先看看流量異常到底是人家進來還是出去還是session數..
→ :還是根本是罐頭訊息 O_o
電算中心是說流出的比較多 不過沒有針對單一IP流量做統計
※ 編輯: peterkot 來自: 210.66.89.36 (11/07 20:10)
→ :被使用者偷裝了P2P嗎 (X12F 11/07 22:22
→ :從工作站上確認下流量吧 看哪個process生出來的
→ :從工作站上確認下流量吧 看哪個process生出來的
推 :不會是dns udp吧?14F 11/08 05:30
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 127
回列表(←)
分享