服务器安全：老被攻击怎么办？——从基础防护到深度加固的系统性方案

一、攻击频发的核心原因分析

服务器遭受持续攻击的根本原因可归结为三类：暴露面过大、防护体系薄弱、攻击成本与收益失衡。据Verizon《2023数据泄露调查报告》显示，62%的攻击针对未修复的已知漏洞，31%源于弱口令或默认配置。例如某电商平台因保留测试账号导致数据库泄露，攻击者通过该入口植入挖矿程序，最终造成服务器资源耗尽。

典型攻击路径包括：

1. 漏洞利用：通过未修复的CVE漏洞（如Log4j2）执行远程代码
2. 暴力破解：针对SSH/RDP服务的弱口令扫描
3. DDoS攻击：利用僵尸网络发起流量洪泛
4. APT渗透：通过社会工程学获取管理员权限

二、基础防护体系构建（必做项）

1. 最小化服务暴露

• 端口管理：仅开放必要端口（如Web服务80/443，数据库3306仅限内网访问）

  # 使用firewalld限制访问（CentOS示例）
  firewall-cmd --permanent --add-port=80/tcp
  firewall-cmd --permanent --remove-service=ssh --zone=public
  firewall-cmd --reload

• 服务拆分：将数据库、缓存等组件部署于独立服务器，通过私有网络通信

2. 访问控制强化

• 双因素认证：对SSH/RDP等管理接口启用Google Authenticator

  # 安装PAM模块
  yum install google-authenticator
  # 修改/etc/pam.d/sshd添加
  auth required pam_google_authenticator.so
  # 修改/etc/ssh/sshd_config
  ChallengeResponseAuthentication yes

• IP白名单：通过iptables限制管理接口访问源

  iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -j DROP

3. 密码策略升级

• 实施16位以上复杂密码（含大小写、数字、特殊字符）
• 禁用常见弱口令（如123456、admin）
• 定期轮换密码（建议每90天）

三、技术加固方案（进阶项）

1. 漏洞管理闭环

• 自动化扫描：部署OpenVAS或Nessus进行周期性扫描

  # OpenVAS快速部署
  docker run -d --name openvas -p 9392:9392 -p 9390:9390 miroslavpejic/openvas

• 补丁管理：建立补丁测试流程，关键系统补丁需在48小时内部署
• CVE监控：订阅NVD（国家漏洞数据库）邮件提醒

2. 入侵检测系统

• 主机层：部署OSSEC或Wazuh进行文件完整性监控

  <!-- OSSEC示例配置 -->
  <syscheck>
    <directories check_all="yes">/etc,/usr/bin,/usr/sbin</directories>
    <frequency>3600</frequency>
  </syscheck>

• 网络层：使用Suricata或Snort检测异常流量

  # Suricata规则示例（检测SSH暴力破解）
  alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force"; flow:to_server; threshold:type both, track by_src, count 10, seconds 60; sid:1000001;)

3. 加密通信强化

• 强制使用TLS 1.2+协议，禁用SSLv3/TLS1.0
• 为管理接口配置自签名证书（生产环境建议使用Let’s Encrypt）

  # OpenSSL生成自签名证书
  openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

四、应急响应机制

1. 攻击处置流程

1. 隔离：立即断开受感染服务器网络连接
2. 取证：使用dmesg、journalctl、netstat等工具收集日志
3. 根因分析：通过lastb查看暴力破解记录，/var/log/auth.log分析登录失败事件
4. 系统恢复：从干净备份还原，或使用rkhunter检查rootkit

2. 备份策略优化

• 实施3-2-1备份原则：3份备份，2种介质，1份异地
• 定期验证备份可恢复性（建议每月测试）
• 使用加密备份（如VeraCrypt加密容器）

3. 威胁情报整合

• 订阅MITRE ATT&CK框架更新
• 加入行业安全信息共享组织（如ISAC）
• 部署威胁情报平台（如MISP）

五、持续优化建议

1. 安全基线检查：每季度执行CIS Benchmarks合规检查
2. 红队演练：每年至少进行2次模拟攻击测试
3. 员工培训：每半年开展钓鱼攻击防范培训
4. 云安全配置：若使用云服务，确保遵循CIS AWS/Azure/GCP基线

六、典型案例解析

某金融公司遭遇持续DDoS攻击，通过以下措施实现防御：

1. 部署Anycast网络分散流量
2. 启用Cloudflare魔法传输（Magic Transit）
3. 配置速率限制规则（如Nginx的limit_req_module）

   limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
   server {
     location / {
       limit_req zone=one burst=5;
     }
   }

4. 建立流量清洗中心，自动识别并过滤恶意流量

七、工具推荐清单

工具类型	推荐方案	适用场景
漏洞扫描	OpenVAS、Nessus	定期安全检查
入侵检测	OSSEC、Wazuh、Suricata	实时威胁监控
日志分析	ELK Stack、Splunk	安全事件调查
密码管理	HashiCorp Vault、KeePass	密钥集中管理
补丁管理	Puppet、Ansible	自动化配置管理

结语

服务器安全防护是持续演进的过程，需要建立”预防-检测-响应-恢复”的完整闭环。建议企业每年投入不低于IT预算15%的资源用于安全建设，同时培养具备SEC认证的专业团队。通过实施上述方案，可将攻击成功率降低70%以上，显著提升系统韧性。记住：安全不是产品，而是体系化的运营能力。