【云端架构】网站运维之基础攻击防护

本周二 腾讯云微信公众号 放出 当月8号晚19点13分至50分 某游戏行业用户37分钟内遭7轮DDOS流量攻击，据不完全统计当月10号二十四小时内陆续出现两起 腾讯云用户遭 勒索病毒 攻击，搞得大家对安全很担忧，目前社区用户对于勒索病毒处理方式为 还原或重装。难道就无解了吗？推荐阅读 1.23T，腾讯云成功防御了国内最大流量DDoS攻击

引用问答：

比特币病毒又来了

腾讯云服务器被黑, 要求支付比特币该怎么办？

其实这些攻击对我们来说都是很常见的扫描器攻击、流量攻击、Redis漏洞攻击，攻击者在本周主要用到这几种攻击。我朋友曾经刚新购腾讯云CVM就被勒索病毒攻陷机器，那么既然被攻击我们如何防范于未然呢？

遭攻击用户上传截图

我们通过采样分析发现，此类攻击是在扫描器攻击的基础上发起，通过扫描IP段的方式寻找存在安全性漏洞的机器进行redis漏洞攻击，这是老毛病了因漏洞未得到及时修复导致服务器被黑。部分腾讯云用户在配置安全组是

存在隐患的安全组配置

很多时候我们需要安装第三方服务，可能会看到要求系统权限或者开端口，于是就这么潇洒的授权，结果服务器被默默植入后门都不知道。放通全部端口这对于大家来说省去单独配置安全组策略的麻烦了，但是从攻击者角度来说一旦服务器开放全部端口，会给找攻击入口带来极大方便。很多时候大家总喜欢给 777 权限，殊不知 755 权限不是也挺好用的吗，我还遇见过给root权限的这心得有多大。

看了上面不安全的行为你中了几处呢？是时候记一句：权限越小，危险越小；权限越大，危险越大

很多常见攻击突破机器安全防护后，便开始尝试提权攻击，将攻击范围最大化。这里很多人因为喜欢乱授权后来查出来有问题找不到授权给谁了，等攻击打过来只有接受还原或者重装的现实。这时在记一句：给自己方便就是给攻击者留后门，给自己适当的不便才能有效的抵抗攻击者（我朋友简直就是人才搞得服务器5xx报错只能重装）。

不管你是个人还是单位都要时刻关注国内安全局势，及时修复被公开的安全性漏洞。互联网是变幻莫测的，下一轮彩蛋不可预料会砸到谁的头上。我们能做的就是尽量保证机组安全运行，千万别宕机担心挨老板吵。

腾讯云为用户提供基础防护可以抵御家庭带宽攻击，但是推荐单位用户使用 网站管家WAF 才是最佳选择。将网站做成静态可以抵御流量攻击；将安全组端口按需开放（停用默认端口设自定义端口）防止扫描器攻击打过来；将业务做动静分离，静态业务挂在 内容分发网络CDN 和 对象存储COS 并适当设置IP访问限频QPS抵御针对性流量攻击；对个人电脑进行防护防止间接性攻击。

具体部署依业务实际需要为准，内容尚不完善仅供参考。