首頁 > 運維 > linux運維 > linux伺服器被駭客入侵後處理

linux伺服器被駭客入侵後處理

巴扎黑
發布: 2018-05-24 09:44:17
原創
4025 人瀏覽過

 場景:

週一上班centos伺服器ssh不可用,web和資料庫等應用程式不回應。還好vnc可以登入

使用last指令查詢,2號之前的登入資訊已被清空,並且sshd檔在週六晚上被修改,週日晚上2點伺服器被人遠端重啟

root     pts/1        :1.0             Mon         :1.0             Mon Jul  3 11:08 - 11:09  (00:011)# root     pts/0        :0.0             Mon Jul  3         :0               Mon Jul  3 10:53   st. .2 .e Mon Jul  3 10:46 - 11:11  (00:25)    

root     ul  3 10:42 - down   (00:01)    

root      tty1 :0               Mon Jul  3 10:40 - down   (00:03)   Jul  2 02:31 - 10:44 (1+08:12)

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 - 02:27  (00:00) #db##102:27  (00:00): origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

##"] rsyslogd was HUPed

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

使用less /var/log/messages指令2點結合last指令,判斷2點重新啟動後IPATABLES生效,有大量的slast指令,判斷2點重新啟動後IPATABLES暴力破解的掃描訊息,由於機器是測試環境,上面安裝了ORACLE和squid,臨時管理了iptables,重啟後iptables啟動,應該沒有再次被登錄,但是系統中部分文件以及被修改

# message檔案中部分資訊如下:

103.207.37.86

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03,35:120 scription in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188##dbcle##Jul  for illegal user support f

103.207.37.86 port 58311 ssh2

Jul  2 03:45:05 oradb sshd[13887]:1Ille 234

113.108.21.16

##Jul  2 05:10:37 oracledb sshd[14126]: Illegal user   from 

103.79.213. 37 oracledb sshd[14126]: Failed password for illegal user support f

rom 

103.79.143.234 port#57019#> 14128] : Did not receive identification string from

#解決方法

1.修改root使用者密碼

2.由於sshd檔案被修改,重新安裝ssh,並設定只有指定內網IP可以存取

3.設定iptables,使iptables

重裝SSHD

1.rpm -qa | grep ssh查詢已安裝套件

#系統已安裝套件:

openssh-clients,openssh-server,openssh,openssh-askpass

刪除這四個套件,刪除時centos提示套件之間有依賴關係,按照提示從依賴關係的最裡層開始刪除,

依照openssh-askpass openssh openssh-server openssh-clients這個順序刪除就可以了。

2.安裝

使用yum逐一安裝,yum install openssh-askpass **

在安裝

openssh-server

時提示:

unpacking of archive failed on file /user/sbin/sshd cpio:rename

刪除檔案提示Operation not permitted錯誤

##刪除檔案提示Operation not permitted錯誤

#查詢檔案的隱藏屬性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

#i:設定檔不能被刪除、改名、設定連結關係,同時不能寫入或新增內容。 i參數對於檔案 系統的安全設定有很大幫助。

a 即append,設定該參數後,只能向文件中添加數據,而不能刪除,多用於伺服器日誌檔案安全,只有root才能設定這個屬性

使用chattr -ia /usr/sbin/sshd#修改檔案的隱藏屬性,取消對應設定之後刪除成功

+ :在原有參數設定基礎上,追加參數。 - :在原有參數設定基礎上,移除參數

#再次yum install openssh-server 成功


####### ###3.設定ssh登入控制,設定管理IP,黑白名單#########vi /etc/###ssh/###sshd_config############################################################ #修改埠號######Port 52111#######只允許SSH2方式的連線######Protocol 2#######容許root用戶登錄,因為後面會設定可登入IP,所以這裡就容許了######PermitRootLogin yes########不容許空密碼######PermitEmptyPasswords no########封鎖來自所有的SSH連線請求# #####vi /etc/hosts.deny######sshd: ALL#######允許來自內部網路指定ip的SSH連線要求######vi /etc/hosts. allow######sshd: 192.168.0#########sshd: 192.168.0######sshd: 192.168.253.**######設定對應iptables設定######1.iptables設定規則### ###iptables [-t表名] [-A|I|D|R 鏈名] [-i網卡名] [-p協定] [-s來源IP] [-d目標ip] [--dport目標連接埠號碼] [-j動作]######這裡需要設定的是filter表,filter表中有input,output,forward三條規則鏈,如果本機服務比較多,規則比較繁瑣,比較便捷的方法是寫shell腳本之後重新啟動ssh服務#######限制SSH的連線IP######iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT###### #iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT######

#SSH支援52111是修改後SSH連接埠

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

這裡只是針對SSH做了簡單配置,具體iptables的配置,詳見iptables設定一文

設定後/etc/rc.d/init.d/iptables save儲存,使用service iptables restart重新啟動服務後設定生效。

以上是linux伺服器被駭客入侵後處理的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板