不管你系統是 Windows 還是 Ubuntu 都要注意喔!
另外這個真的是很重要的 PSA,請大家一定要對自己的服務器配置重啟告警,避免被攻擊者重開一下主機就把你的系統劫持走了,不管你漏洞修正補得多即時都一樣
htop 預設會顯示使用者空間的線程(色彩突顯為綠色),建議在安全檢查時將作業系統核心線程跟使用者空間線程都隱藏起來方便識別偽裝為作業系統核心線程的惡意進程(實務上已經遇到很多個都是這樣矇騙系統管理員的案例)
開 tree view 是有幫助啦,不過我覺得直接把沒有疑慮的都直接隱藏起來比較容易發現惡意進程
另外作業系統核心線程的 PPID 都是 2(kthreadd) 也可以拿來鑑別進程是否為作業系統核心線程
拿到 Server 第一件事不就是將 BMC 帳號密碼改掉
user space and ipmi/redfish 都要, BMC 和 Host 網路要分開
如果沒辦法,那就要特別注意,尤其是現在 NCSI 都可以拿到另一邊的 IP
拿到 KVM 大概掉一半權限