云主机被攻击如何防御?

去年夏天的一个周末，我正在陪家人吃饭，手机突然像炸了锅一样响个不停。监控系统显示，一台核心业务服务器的CPU使用率从平时的百分之二十直接飙到了百分之百，网络出流量也异常升高。登录服务器一看，一个不认识的进程占满了所有CPU资源，网络连接里充斥着到陌生IP地址的通信。

挖矿病毒，这四个字瞬间蹦进了我的脑海。有人在我们的服务器上植入了挖矿程序，正在疯狂消耗我们的计算资源去挖加密货币。更麻烦的是，这台机器上还存着客户的敏感数据，万一攻击者已经拿到了系统权限，后果不堪设想。

那一夜，我和团队忙到凌晨四点才把问题处理干净。事后复盘发现，这次入侵完全是可以避免的——只是一次安全组配置的疏忽和一组弱密码，就让攻击者找到了可乘之机。

云主机被攻击这件事，说大不大说小不小。说它不大，是因为大多数攻击都有成熟的防御方案;说它不小，是因为一旦防御失守，轻则服务器瘫痪，重则数据泄露、业务停摆。本文将从实际案例出发，系统梳理云主机面临的常见攻击类型，并提供从基础防护到深度防御的完整思路。

先搞清楚攻击从哪里来，才能有的放矢地防御

很多人一听说服务器被攻击，第一反应是“赶紧装个杀毒软件”。这种做法就像家里进了小偷，你不去加固门窗，反而在客厅里摆了个稻草人，效果可想而知。

云主机面临的攻击，大致可以分为这么几类。第一类是暴力破解和弱口令攻击，攻击者用自动化工具不断尝试SSH或者RDP的登录密码，一旦猜中，就获得了服务器的控制权。这类攻击最常见，危害也最大，因为攻击者拿到的是合法的登录凭证，后续的操作很难被传统的安全软件识别为异常。

第二类是漏洞利用攻击。操作系统、Web应用、数据库、中间件，任何一个组件存在未修复的安全漏洞，都可能成为攻击者的突破口。前两年爆发的Log4j漏洞就是一个典型案例，攻击者只需要在请求参数里带上一段特殊的字符串，就能让服务器执行任意代码。这类攻击的技术门槛相对较高，但一旦成功，破坏力极强。

第三类是DDoS攻击。攻击者通过控制大量的傀儡机器，向你的服务器发起海量的请求，耗尽带宽、CPU或者连接数，让正常用户无法访问。这类攻击不一定会入侵你的服务器，但会让你的业务瘫痪，而且攻击流量一大，云服务商可能会把你的IP地址拉入黑洞，业务中断时间可能长达数小时。

第四类是恶意软件植入，最常见的就是挖矿病毒和勒索病毒。挖矿病毒消耗你的计算资源为攻击者牟利，勒索病毒加密你的数据然后索要赎金。这类病毒通常是通过其他方式先拿到服务器权限，然后再下载安装的。

了解攻击的类型，是为了有针对性地构建防御体系。不同类型的攻击，防御的侧重点完全不同。

基础防线：安全组配置和密码策略

很多人觉得安全组的配置很简单，不就是开放几个端口嘛。但实际上，安全组配置是最容易被忽视也是最重要的防线之一。

一个最基本的规则是：只开放业务必需的端口，其他端口一律关闭。比如你的云主机只跑Web服务，那就只开放80和443端口，SSH管理端口22只对特定IP开放，不要对所有公网IP开放。很多人为了方便，把22端口开放给0.0.0.0/0，这相当于把家门钥匙插在门上，谁来了都能拧开。

高危端口需要特别注意。像22、3389、3306、6379这些常见服务的默认端口，是攻击者扫描的重点目标。如果确实需要对外提供服务，建议修改为其他非默认端口，同时配合白名单访问控制。

密码策略同样不容忽视。我见过太多因为弱口令导致入侵的案例了。admin/123456、root/root、test/test，这些密码在攻击者的字典里排在非常靠前的位置，几乎是一试一个准。一个好的密码应该至少包含大小写字母、数字和特殊字符中的三种，长度不少于十位，而且不要包含用户名或者常见的单词。

比密码更安全的是密钥登录方式。对于Linux云主机，建议禁用密码登录，改用SSH密钥对认证。密钥对的破解难度比密码高了不止一个数量级，而且不存在被暴力破解的风险。

主机安全软件：给你的服务器装上一个智能保镖

如果说安全组是第一道门禁，那主机安全软件就是24小时在线的巡逻保安。主流云服务商都提供了主机安全服务，比如阿里云的云安全中心、华为云的企业主机安全、腾讯云的主机安全等。

这类软件的核心功能有几个方面。一是弱口令检测，它会扫描你服务器上的所有账号，找出那些密码强度不足的账号，提醒你修改。二是漏洞扫描，它会定期检查操作系统和常用软件的版本，发现已知漏洞并给出修复建议。三是入侵检测，它会实时监控服务器上的进程行为、网络连接、文件变更等，一旦发现可疑活动就立即告警甚至自动阻断。

我处理过一个很有意思的案例。一台服务器被植入了挖矿病毒，但病毒在运行几分钟后就被主机安全软件自动隔离了。客户很奇怪，问我为什么病毒还能跑起来。我查看日志后发现，病毒是通过一个弱口令SSH账号进来的，虽然病毒被杀了，但攻击者留下的后门账号还在。清理完所有后门账号之后，问题才彻底解决。

这个案例说明，主机安全软件不是万能的，但它能帮你大幅缩小攻击面，并且在攻击发生后的第一时间做出响应。对于大多数中小企业来说，开启主机安全的基础防护功能是一个投入产出比非常高的选择。

DDoS攻击的防御思路

DDoS攻击的特点是量大、来得快、影响面广。一旦被攻击，你可能连服务器都登录不上去，只能干瞪眼。

针对DDoS攻击，云服务商通常会提供免费的基礎防护。比如每个公网IP都默认带有一定的DDoS清洗能力，可以抵御小规模的攻击流量。但如果攻击流量超过了这个阈值，云服务商为了保护整个数据中心的网络稳定，可能会把这个IP拉入黑洞状态，所有流量都被丢弃。

如果你的业务对可用性要求很高，比如电商、游戏、金融等行业，建议考虑更专业的DDoS防护方案。一种是高防IP服务，攻击流量先经过高防节点清洗，干净的流量再转发到你的源站服务器。高防节点的带宽容量通常远大于普通服务器，能够抵御百G甚至T级别的攻击。

另一种方案是利用CDN来分散攻击压力。CDN节点遍布全国甚至全球，用户访问的是离自己最近的CDN节点，源站IP不需要暴露在公网上。当攻击发生时，流量被分散到各个CDN节点上，单个节点承受的压力就小很多了。

选择哪种方案，取决于你的业务规模、预算和对可用性的要求。但无论如何，建议至少做好基础防护，不要裸奔。

应用层攻击：CC攻击和Web漏洞的应对

DDoS攻击针对的是网络层和传输层，消耗的是带宽和连接数。而CC攻击是一种应用层的DDoS，它发送的是看起来完全正常的HTTP请求，但请求的频率和数量远超正常用户的范畴，目的是耗尽Web服务器的处理能力。

CC攻击的防御比传统DDoS更复杂，因为攻击流量和正常流量混在一起，很难区分。常见的防御手段包括：设置单IP的访问频率限制，超过阈值就暂时封禁;在关键页面加入验证码验证，阻止自动化工具的访问;使用Web应用防火墙来识别和拦截恶意请求的特征。

Web应用防火墙还能防御SQL注入、跨站脚本、命令注入等Web漏洞攻击。这类攻击的原理是攻击者在请求参数中夹带了恶意的代码，如果Web应用没有对输入做严格的校验和过滤，这些代码就会被执行，导致数据泄露或者服务器被控制。

部署WAF的方式有好几种。一种是使用云服务商提供的WAF服务，配置简单，效果有保障。另一种是在自己的服务器上部署开源的WAF软件，比如ModSecurity，成本低但需要一定的技术能力来维护。选择哪种方式，看你的团队能力和业务需求。

访问控制的精细化：堡垒机和最小权限原则

很多安全问题的根源，不是外部攻击有多厉害，而是内部权限管理太松散。

一个典型的场景是：团队里有好几个运维人员，大家都用同一个root账号登录服务器，谁做了什么操作完全无法追溯。一旦某个人的电脑被病毒控制了，攻击者就能用这个root账号登录你的所有服务器，造成灾难性的后果。

解决这个问题的思路是引入堡垒机，也叫运维安全中心。堡垒机的作用是把所有对服务器的访问都集中到一个入口上，运维人员先登录堡垒机，再从堡垒机登录到目标服务器。这样做的价值在于：每个人的身份是独立的，操作行为被完整记录，高危命令可以被实时拦截。

堡垒机配合最小权限原则使用，效果更好。所谓最小权限，就是只给每个人他工作必需的最小权限，不多给一分。比如负责Web应用部署的人，只需要对Web目录有写入权限，不需要有修改系统配置的权限，更不需要有删除所有数据的权限。权限越小，出问题时的影响面就越小。

监控和告警：你的24小时哨兵

防御做得再好，也不能保证百分之百不被突破。及时发现异常、快速响应处置，是安全体系中不可或缺的一环。

监控的内容至少应该包括几个方面。一是系统资源监控，CPU、内存、磁盘、网络的使用率出现异常波动，往往意味着有情况发生。比如挖矿病毒会导致CPU持续高负载，被DDoS攻击会导致网络流量暴涨。二是登录行为监控，记录所有登录成功和失败的尝试，重点关注非正常时间的登录和来自陌生IP的登录。三是进程和端口监控，关注是否有不认识的进程在运行，是否有异常的端口在监听。

云服务商提供的云监控服务可以帮你做这些事情。你只需要设置好告警阈值，当指标超出正常范围时，系统就会通过短信、邮件或者企业微信等方式通知你。告警信息越及时，你响应的时间窗口就越充裕。

数据备份：最后的救命稻草

安全防御的终极目标是不让攻击者得手。但万一所有防线都被突破了，数据备份就是最后的救命稻草。

云服务商提供的云备份服务，可以定期对云硬盘创建快照。当服务器被勒索病毒加密或者被入侵者破坏后，你可以通过回滚快照的方式，将数据恢复到攻击发生前的状态。

备份的策略需要注意几点。一是备份的频率要合理，备份间隔越长，可能丢失的数据就越多。二是备份要保留多个版本，万一最近的备份也是有问题的，还可以恢复到更早的版本。三是备份要存储在与源服务器不同的位置，最好是在不同的可用区或者不同的地域，这样即使源服务器所在的区域出现大规模故障，备份数据也不会丢失。

一个完整的防御案例复盘

去年年底，我帮一家做在线教育的客户设计了一套云主机安全防御方案。他们的业务特点是用户量大、访问波动剧烈、对可用性要求极高。

方案的思路是从外到内层层设防。最外层是CDN和高防IP，CDN负责分散日常流量和防御小规模攻击，高防IP作为备用应对突发的大流量攻击。第二层是Web应用防火墙，部署在CDN和源站之间，拦截SQL注入、CC攻击等应用层威胁。第三层是安全组，只开放80、443和SSH端口，SSH端口只允许堡垒机的IP访问。第四层是主机安全软件，安装在每一台云主机上，实时监控入侵行为并自动隔离恶意进程。第五层是堡垒机，所有运维操作必须通过堡垒机进行，高危命令被严格限制。最后一道防线是定期备份，每天凌晨自动备份关键数据，保留三十天。

这套方案实施后的半年里，客户的系统经历了多次攻击尝试，包括两次DDoS攻击、若干次暴力破解和一次Web漏洞扫描，全部被成功拦截，业务始终保持稳定运行。

总结

云主机被攻击如何防御?答案不是买一个产品、装一个软件就能解决的。真正的安全是分层防御、纵深布防。

从最基础的密码策略和安全组配置开始，到主机安全软件的部署，再到专业级的DDoS防护和WAF，最后到访问控制的精细化和数据备份的兜底，每一层都有自己的作用，每一层都不是万能的，但层叠起来就构成了一个相对完整的防护体系。

安全没有终点，只有持续改进的过程。攻击者在不断进化，防御手段也要与时俱进。定期检查安全配置、及时更新系统和软件、复盘每一次安全事件，这些日常工作中的习惯，比任何昂贵的安防产品都重要。毕竟，最好的防御，是让攻击者根本没有可乘之机。