Que faire après le piratage d'un serveur Linux

Scénario :

SSH du serveur centos n'est pas disponible au travail lundi et les applications telles que le Web et la base de données ne répondent pas. Heureusement, vnc peut être connecté

Utilisez la dernière commande pour interroger. Les informations de connexion avant la 2 ont été effacées et le fichier sshd a été modifié samedi soir. Le serveur a été redémarré à distance à 14 heures. le dimanche soir

root pts/1 :1.0 Lun 3 juillet 11:09 toujours connecté

root pts/1 :1.0 Lun 3 juillet 11 :08 - 11:09 (00:01 )

root pts/0 :0.0 Lun 3 juillet 10:54 toujours connecté

root tty1 :0 Lun 3 juillet 10:53 toujours connecté

reboot system boot 2.6.32-696.3.2 .e Lun 3 juillet 10:46 - 11:11 (00:25)

root pts/0 :0.0 Lun 3 juillet 10:42 - down (00:01)

root tty1 :0 Lun 3 juillet 10h40 - down (00:03)

reboot system boot 2.6.32-696.3.2.e Dim 2 juillet 02:31 - 10:44 (1+08:12)

reboot system boot 2.6.32-431.el6.x Dim 2 juillet 02:27 - 02:27 (00:00)

2 juillet 03 : 11h20 oracledb rsyslogd : [ origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

"] rsyslogd a été HUPed

2 juillet 03:35:11 oracledb sshd[13864] : n'a pas reçu de chaîne d'identification de

Utilisez la commande less /var/log/messages 2 points combinés avec la dernière commande pour déterminer que IPATABLES prend effet après le redémarrage à 2 points, il y a beaucoup d'informations d'analyse ssh pour le cracking par force brute. Étant donné que la machine est un environnement de test, ORACLE et Squid y sont installés et iptables est temporairement géré. Après le redémarrage, iptables le démarre. ne doit pas être reconnecté, mais certains fichiers du système ont été modifiés

Certaines informations contenues dans le fichier de messages sont les suivantes :

103.207.37.86

2 juillet 03:35:12 oracledb sshd[13865] : erreur : mauvaise description première dans la ligne 186

2 juillet   03:35:12 oracledb sshd[13865] : erreur :  mauvaise description prime dans la ligne 187

2 juillet  03:35:12 oracledb sshd[13865] : erreur : mauvaise description première dans la ligne 188

2 juillet 03:35:13 oracledb sshd[13865] : échec du mot de passe pour prise en charge des utilisateurs illégaux f

103.207.37.86 port 58311 ssh2

2 juillet 03:45:05 oracledb sshd[13887] : assistance aux utilisateurs illégaux de 

103.79.143.234

113.108.21.16

2 juillet  05:10:37 oracledb sshd[14126] : assistance aux utilisateurs illégaux de 

103.79.143.234

2 juillet 05:10 :37 oracledb sshd[14126] : Échec du mot de passe pour l'assistance aux utilisateurs illégaux de

à partir de 

103.79.143.234 port 57019 ssh2

2 juillet 05:10:43 oracledb sshd[ 14128] : N'a pas reçu la chaîne d'identification de

解决方法

1.修改root用户密码

2.由于sshd文件被修改，重新安装ssh，并设置只有指定内网IP可以访问

3.配置iptables，使iptables

重装SSHD

1.rpm -qa | grep ssh除时centos 提示包之间有依赖关系，按照提示从依赖关系的最里层开始删除，

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.安装

使用yum逐一安装，yum install openssh-askpass **

安装

openssh-server

时提示：

le déballage de l'archive a échoué sur le fichier /user/sbin/sshd cpio:rename

删除文件提示Opération non autorisée错误

查询文件的隐藏属性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i : Les fichiers de paramètres ne peuvent pas être supprimés, renommés ou liés en même temps. Impossible d'écrire ou d'ajouter du contenu. Le paramètre i est très utile pour les paramètres de sécurité du système de fichiers.

a signifie ajouter. Après avoir défini ce paramètre, vous pouvez uniquement ajouter des données au fichier, mais vous ne pouvez pas les supprimer. Il est principalement utilisé pour la sécurité du fichier journal du serveur. Seul root peut définir cela. attribut

Utilisez chattr -ia /usr/sbin/sshd pour modifier les attributs cachés du fichier Après avoir annulé les paramètres correspondants, la suppression est réussie

+ ：在原有参数设定基础上，追加参数。 - ：在原有参数设定基础上，移除参数

yum installe à nouveau openssh-server avec succès

3. Configurez le contrôle de connexion ssh, définissez l'adresse IP de gestion, la liste noire et blanche

vi /etc/

ssh/sshd_config

# Modifier le numéro de port

Port 52111

#Autoriser uniquement les connexions SSH2

Protocole 2

# Autoriser la connexion de l'utilisateur root, car il sera configuré pour pouvoir se connecter ultérieurement IP, donc c'est autorisé ici

PermitRootLogin oui

# Les mots de passe vides ne sont pas autorisés

PermitEmptyPasswords no

#Bloquer toutes les demandes de connexion SSH

vi /etc/hosts.deny

sshd : ALL

#Autoriser les demandes de connexion SSH provenant du spécifié IP dans l'intranet

vi /etc/hosts.allow

sshd : 192.168.0

sshd : 192.168.253.**

Configurer correspondant Paramètres iptables

Règles de configuration 1.iptables

iptables [-t nom de la table] [-A|I|D|R nom de la chaîne] [-i nom de la carte réseau] [-p protocole] [-s source IP] [-d target ip] [--dport target port No.] [-j action]

Ce qui doit être configuré ici, c'est la table de filtrage. Il y a trois chaînes de règles dans le. table de filtrage : entrée, sortie et transfert. S'il existe de nombreux services locaux et que les règles sont compliquées, la méthode la plus pratique consiste à redémarrer le service ssh après avoir écrit le script shell

# Restreindre l'adresse IP de la connexion SSH

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPTER

iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPTER

#SSH support 52111 est le port SSH modifié

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

Ceci est juste une configuration simple pour SSH, spécifiquement iptables pour configuration, veuillez consulter l'article Configuration iptables pour plus de détails

Après la configuration, /etc/rc.d/init.d/iptables save est enregistré. Utilisez le redémarrage du service iptables pour redémarrer le service et la configuration prendra effet.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!