如何防范服务器被攻击

近期国内多所院校出现勒索软件感染情况，磁盘文件会被病毒加密，加密使用了高强度的加密算法对难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何 *** 作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
在此提醒广大校园网用户：
1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，
2、关闭445、135、137、138、139端口，关闭网络共享。
3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。
4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。
5、建议仍在使用windows xp， windows 2003 *** 作系统的用户尽快升级到 window 7/windows 10，或 windows 2008/2012/2016 *** 作系统。
6、安装正版 *** 作系统、Office软件等。

1禁用ROOT权限登录。(重要)
2安全组收缩不使用的端口，建议除443/80以及ssh登录等必要端口外全部关闭。
3防火墙收缩不使用的端口，建议除443/80以及ssh登录端口外全部关闭。
4更改ssh默认端口22
5除登录USER，禁止其他用户su到root进程，并且ssh开启秘钥及密码双层验证登录。(重要)
6限制除登录USER外的其他用户登录。
7安装DenyHosts，防止ddos攻击。
8禁止系统响应任何从外部/内部来的ping请求。
9保持每天自动检测更新。
10禁止除root之外的用户进程安装软件及服务，如有需要则root安装，chown给到用户。
11定时给服务器做快照。
12更改下列文件权限：

13限制普通用户使用特殊命令，比如wget，curl等命令更改使用权限，一般的挖矿程序主要使用这几种命令 *** 作。

1nginx进程运行在最小权限的子用户中，禁止使用root用户启动nginx。(重要)
2配置nginxconf，防范常见漏洞：

1禁止root权限启动apache服务！禁止root权限启动apache服务！禁止root权限启动apache服务！重要的事情说三遍！因为这个问题被搞了两次。
2改掉默认端口。
3清空webapps下除自己服务外的其他文件，删除用户管理文件，防止给木马留下后门。
4限制apache启动进程su到root进程以及ssh登录，限制启动进程访问除/home/xx自身目录外的其他文件。
5限制apache启动进程 *** 作删除以及编辑文件，一般a+x即可。

1关闭外网连接，与java/php服务使用内网连接。
2在满足java/php服务的基础上，新建最小权限USER给到服务使用，禁止USER权限访问其他项目的库。
3root密码不要与普通USER相同。
4建议使用云库，云库具备实时备份，动态扩容，数据回退等功能，减少 *** 作风险。

1关闭外网连接，只允许内网交互，基本这个做了之后就已经稳了。
2禁止root权限启动，运行在普通用户进程里。
3更改默认端口。
4添加登录密码。

以上是自己做的防范手段，不成熟见解，有一些方案待验证，不定时更新，欢迎大佬补充！

---