¿Qué hago si mis servidores están sujetos a un ataque minero?
Tomar medidas inmediatas para contener el ataque, evitando que los mineros ocupen la CPU o afecten a otras aplicaciones. Si un servidor es intrusado por un programa de minería, el programa de minería puede penetrar en la intranet y persistir en el servidor intruso.
También debe endurecer sus servidores para bloquear mejor las intrusiones.
Procedimiento de resolución de problemas
- Iniciar sesión en la consola de gestión.
- En la esquina superior izquierda de la página, seleccione una región, haga clic en y elija .
- Comprueba los eventos de Abnormal process behavior.
Elija Detection > Alarms y haga clic en Server Alarms. Elija Abnormal System Behavior > Abnormal process behavior para ver y manejar las alarmas de comportamiento anormal del proceso. Haga clic en Handle en la columna Operation de un evento.Figura 1 Manejo de comportamientos anormales del proceso
- Compruebe los elementos de inicio automático. Algunos de sus elementos de inicio automático probablemente fueron creados por atacantes para iniciar programas de minería al reiniciar el servidor.
Elija Auto-startup, y seleccione Operation History para ver el historial de cambios.
, haga clic enFigura 2 Comprobación de elementos de inicio automático
Servidores de endurecimiento
Después de eliminar los programas mineros, endurecer sus servidores para defenderse mejor contra las intrusiones.
- Permita que HSS analice automáticamente sus servidores y aplicaciones a primera hora de la mañana todos los días para ayudarle a detectar y eliminar los riesgos de seguridad.
- Establezca contraseñas más seguras para todas las cuentas (incluidas las cuentas de sistema y aplicación), o cambie el modo de inicio de sesión a inicio de sesión basado en clave.
- Establezca la contraseña de seguridad. Para obtener más información, consulte ¿Cómo configuro una contraseña segura?.
- Utilice una clave para iniciar sesión en el servidor. Para obtener más información, consulte Uso de una clave privada para iniciar sesión en el ECS de Linux.
- Controle estrictamente el uso de las cuentas de administrador del sistema. Conceda solo los permisos mínimos requeridos para aplicaciones y middleware y controle estrictamente su uso.
- Configurar reglas de acceso en grupos de seguridad. Abra solo los puertos necesarios. Para puertos especiales (como los puertos de inicio de sesión remoto), solo permita el acceso desde direcciones IP especificadas o utilice hosts VPN o bastion para establecer sus propios canales de comunicación. Para obtener más información, consulte Reglas de grupo de seguridad.
Windows servers
- Endurecimiento de seguridad de cuenta
Cuenta
Descripción
Procedimiento
Asegurar la seguridad predeterminada de la cuenta.
- Deshabilitar usuario Guest.
- Desactivar y eliminar cuentas innecesarias. (Se recomienda desactivar las cuentas inactivas durante tres meses antes de eliminarlas.)
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Computer Management.
- Seleccione System Tools > Local Users and Groups > Users.
- Haga doble clic en Guest. En la ventana Guest Properties, seleccione Account is disabled.
- Haga clic en OK.
Asignar cuentas con solo los permisos necesarios a los usuarios.
Crear usuarios y grupos de usuarios de tipos específicos.
Ejemplo: administradores, usuarios de bases de datos, usuarios de auditoría
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Computer Management.
- Elija System Tools > Local Users and Groups. Cree usuarios y grupos según sea necesario.
Comprobar y eliminar periódicamente cuentas innecesarias.
Eliminar o bloquear periódicamente cuentas innecesarias.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Computer Management.
- Elija System Tools > Local Users and Groups.
- Elija Users o User Groups y elimine usuarios innecesarios o grupos de usuarios.
No mostrar el último nombre de usuario.
Prohibir que la página de inicio de sesión muestre el último usuario registrado.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > Security Options.
- Haga doble clic en Interactive logon: Do not display last user name.
- En el cuadro de diálogo que aparece, seleccione Enable y haga clic en OK.
- Endurecimiento de seguridad de contraseña
Configuración
Descripción
Procedimiento
Complejidad
De acuerdo con los requisitos establecidos en ¿Cómo configuro una contraseña segura?
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Account Policies > Password Policy.
- Habilite la política Password must meet complexity requirements.
Maximum Password Age (Duración máxima de la contraseña)
En el modo de autenticación de contraseña estática, forzar a los usuarios a cambiar sus contraseñas cada 90 días o a intervalos más cortos.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Account Policies > Password Policy.
- Establezca Maximum password age en 90 días o menos.
Política de bloqueo de cuenta
En el modo de autenticación de contraseña estática, bloquee una cuenta de usuario si la autenticación del usuario falla durante 10 veces consecutivas.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Account Policies > Account Lockout Policy.
- Establezca Account lockout threshold en 10 o más pequeño.
- Endurecimiento de seguridad de autorización
Autorización
Descripción
Procedimiento
Apagados remotos
Asignar el permiso Force shutdown from a remote system sólo al grupo Administrators.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > User Rights Assignment.
- Asignar el permiso Force shutdown from a remote system sólo al grupo Administrators.
Apagado local
Asignar el permiso Shut down the system sólo al grupo Administrators.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > User Rights Assignment.
- Asignar el permiso Shut down the system sólo al grupo Administrators.
Asignación de derechos de usuario
Asigne el permiso Take ownership of files or other objects sólo al grupo Administrators.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > User Rights Assignment.
- Asignar el permiso Shut down the system sólo al grupo Administrators.
Inicio de sesión
Autorizar a los usuarios a iniciar sesión en el equipo localmente.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > User Rights Assignment.
- Asigne el permiso Allow log on locally a los usuarios que desea autorizar.
Acceso desde la red
Permitir que solo los usuarios autorizados accedan a este equipo desde la red (por ejemplo, mediante uso compartido de red). No se permite el acceso desde otras terminales.
- Abra Control Panel.
- Haga clic en Administrative Tools. Abra Local Security Policy.
- Elija Local Policies > User Rights Assignment.
- Asigne el permiso Access this computer from the network a los usuarios que desea autorizar.