顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2013-11-18 16:11:35
看板 Linux
作者 peterkot (偉仔)
標題 [問題] 工作站遭攻擊時之應對方法
時間 Wed Nov  6 19:04:34 2013


小弟我現在用的系統是 CentOs 5.8

之前因為某單位訪查做了以下措施

1.存放製程資料之設備關閉HTTP服務

2.非傳輸製程資料期間,存放製程資料之設備關閉FTP檔案傳輸服務

但忘記為何原因而關閉了防火牆

今天電算中心告知我有一台工作站遭到外來攻擊

查詢IP是來自大陸和美國,且疑似有流量異常現象

電算中心做以下建議:

1.檢查防火牆開啟否

2.安裝軟體掃毒

3.重灌整個系統

因為工作站有些機密資料擔心外洩(內容不方便透露),所以有去問資工系的同學

我資工系的同學認為可能是隨意找目標攻擊

我爬文發現防毒軟體安裝似乎有點多餘?

我目前是已經重開防火牆,且設定僅信任ssh(port22可連線)

那我還有其他需要做的嗎?

是否真的需要做電算中心所說的措施嗎?

因為真的對工作站管理沒有很了解,只想說能用就好

還請版上高手提供意見

感謝

--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.130.21.106
wubruce:改ROOT密碼、檢查工作排程跟執行程序1F 11/06 20:41
lspci:1.資料先確保 2.系統重灌 3. ssh/ftp 帳號鎖IP 其餘全關全擋2F 11/06 21:43
paulintoro:sshguard denyhosts3F 11/06 22:18
Adama:有機密資料還是去找專業的來吧...4F 11/06 22:27
zenixls2:port knocking5F 11/07 00:28
danny8376:這建議看看就好 因為Win機器很多 所以...6F 11/07 02:38
carlcarl:ssh 改用 key 登入 拿掉 password 認證7F 11/07 02:39
danny8376:是說可以的話非校內IP全擋會安全得多8F 11/07 02:40
asimon:推danny8376..9F 11/07 15:44
asimon:先看看流量異常到底是人家進來還是出去還是session數..
asimon:還是根本是罐頭訊息 O_o

電算中心是說流出的比較多 不過沒有針對單一IP流量做統計
※ 編輯: peterkot        來自: 210.66.89.36         (11/07 20:10)
danny8376:被使用者偷裝了P2P嗎 (X12F 11/07 22:22
danny8376:從工作站上確認下流量吧 看哪個process生出來的
yanli2:不會是dns udp吧?14F 11/08 05:30

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 127 
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇