Si su servidor se ha visto comprometido, el mejor curso de acción es desconectarse inmediatamente de la red para evitar que el atacante comprometa aún más su sistema. Luego debe verificar su servidor para ver si hay signos que indiquen que ha sido comprometido. Si nota alguna actividad sospechosa, debe comunicarse con su administrador de red de inmediato o comunicarse con el soporte técnico para obtener ayuda. Espero que estas sugerencias puedan ayudar a todos a resolver el problema del ataque al servidor. Si realmente no sabes qué hacer, puedes contactarnos en Xiaoyi Cloud Security para resolverlo rápidamente.
Además, debería considerar instalar software o hardware de firewall para evitar futuras intrusiones. También debería considerar instalar software antimalware para ayudar a detectar y eliminar posible malware. Lo mejor es no intentar solucionarlo solo sino buscar ayuda profesional de inmediato. Esto garantiza que su sistema esté adecuadamente reparado y protegido contra futuras intrusiones.
Al mismo tiempo, también se puede bloquear la IP intrusa. Existen varios métodos para bloquearlo. A continuación se muestra un ejemplo sencillo:
Si desea bloquear una dirección IP en su servidor, puede utilizar reglas de firewall para hacerlo. Específicamente, puede utilizar software o hardware de firewall para impedir que el tráfico de direcciones IP específicas llegue a su servidor. El sistema operativo del servidor viene con herramientas para bloquear direcciones IP.
Por ejemplo, en sistemas Linux, puede utilizar el comando iptables para bloquear una dirección IP. En los sistemas Windows, puede utilizar el Firewall de Windows para bloquear direcciones IP. Tenga en cuenta que bloquear una dirección IP puede impedir que los usuarios de esa dirección accedan a su servidor. Por lo tanto, antes de prohibir una dirección IP, se deben considerar cuidadosamente las implicaciones.
En los sistemas Linux, puede utilizar el comando iptables para bloquear una dirección IP.
Por ejemplo, para bloquear el tráfico desde la dirección IP 123.45.67.89, puede utilizar el siguiente comando:
iptables -A ENTRADA -s 123.45.67.89 -j SOLTAR
Para guardar las reglas de prohibición de forma permanente, puede utilizar el siguiente comando:
iptables-save > /etc/iptables.rules
Para cargar reglas de bloqueo al iniciar el sistema, puede utilizar el siguiente comando:
iptables-restore < /etc/iptables.rules
Además, puede utilizar herramientas de terceros para administrar y prohibir direcciones IP, como fail2ban. fail2ban es una herramienta de seguridad de código abierto que puede bloquear automáticamente el tráfico de direcciones IP específicas según reglas específicas. Para instalar fail2ban puedes usar el siguiente comando:
apt-get instalar fail2ban
Luego puede editar el archivo de configuración /etc/fail2ban/jail.conf para establecer las reglas y el comportamiento de fail2ban. Por ejemplo, para bloquear una dirección IP que no intenta iniciar sesión en el servidor SSH, puede agregar lo siguiente al archivo de configuración:
[ssh]
habilitado = verdadero
puerto = ssh
filtro = sshd
ruta de registro = /var/log/auth.log
reintento máximo = 3
Luego, el archivo de configuración de fail2ban se puede recargar usando el siguiente comando:
recarga del servicio fail2ban
También puede utilizar el siguiente comando para ver la lista de direcciones IP actualmente bloqueadas:
estado del cliente fail2ban ssh``