是这样的，Linux上需要杀毒，在我本科的时候，做药物设计学实验时，想要拷贝一个文件但没有root权限无法挂载U盘，就用了一个cve获得了root权限。作为一个曾经的CTFer，有以下几点经验可以与大家分享
1. 由于绝大多数情况下，访问Linux是通过ssh的方法。换端口的方法只能筛掉无脑用现成脚本的攻击，稍微增加一个前置脚本就完全无效了。更好的方法是采用“端口敲门”的方法，但可能需要对于新人进行额外的登录培训
2. 如果用的不是像redhat这种有公司提供服务的linux，那就不要抱着某一个LTS版本linux用很久！！站内很多人仍然用着由4.x的gcc编译的内核，由于内核版本与gcc版本高度相关，4.x的gcc对应的内核大概已经超过支持周期，存在很多1day或者nday漏洞，就算用了端口敲门技术，也不代表没有其他的被攻破的方法。尽可能用最新版本的LTS的Linux，定期打补丁，可以避免这个问题
3. 在cpu/gpu长时间高占用率时，记录对应的可执行文件名称，定期查看日志
可能还有一些方法，但一时半会记不清楚，容我想到了再补充

需要杀毒，不然容易被挖矿

前几天刚看到一篇知乎文章，介绍了一起服务器被挖矿的情况处置，大概有些参考价值。

anson 发表于 2024-6-11 11:22
联网的机器还是有这个需要的 之前组里的机器莫名其妙就被黑了植入挖矿程序，怎么kill都没有用的那种

这种一般是木马，需要找到对应的进程，然后删去原始可执行文件才可以

先想办法, “挡在外面”.

不让入侵者登录到机器, 他们就没啥机会了.

比如采用非标准端口+SSH密钥登录+禁止root登录, 基本就安全了.

当然, 如果你使用微软通过各种协议访问Linux, 请管理好微软的密码以及各客户端的密码加密.

我碰到的GPU被挖矿, 都是从微软突破的.
比如, 微软远程桌面弱密码, SSH客户端虽然是密钥登录, 还不是长驱直入?!!!


如果仅仅使用Linux作为自己的操作系统, 关闭SSH密码登录, 禁止root远程登录; 使用复杂密码, 合理管制sudo权限.

如果使用微软+Linux服务器, 管理好微软安全设定, Linux采用带有密码校验的SSH密钥登录.

计算用的服务器, 当然是放在物理隔离的安全内网.

自己作为单机使用的Linux系统, Debian系列, 开启AppArmor; RHEL系列开启SELinux.

如果感觉以上措施依旧无法满足需求,
那么你需要部署硬件安全设备, 包括但不限于入侵检测, 防火墙, 堡垒机等等.

联网的机器还是有这个需要的 之前组里的机器莫名其妙就被黑了植入挖矿程序，怎么kill都没有用的那种