一次linux服务器黑客入侵后处理

场景:

周一上班centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录

使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in

root     pts/1        :1.0             Mon Jul  3 11:08 - 11:09  (00:01)

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in

root     tty1         :0               Mon Jul  3 10:53   still logged in

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 - 11:11  (00:25)

root     pts/0        :0.0             Mon Jul  3 10:42 - down   (00:01)

root     tty1         :0               Mon Jul  3 10:40 - down   (00:03)

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 - 10:44 (1+08:12)

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 - 02:27  (00:00)

Jul  2 03:11:20 oracledb rsyslogd: [origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

http://www.rsyslog.com"] rsyslogd was HUPed

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

使用less /var/log/messages命令2点结合last命令,判断2点重启后IPATABLES生效,有大量的ssh暴力破解的扫描信息,由于机器是测试环境,上面安装了ORACLE和squid,临时管理了iptables,重启后iptables启动,应该没有再次被再次登录,但是系统中部分文件以及被修改

message文件中部分信息如下:

103.207.37.86

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

103.207.37.86 port 58311 ssh2

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from

103.79.143.234

113.108.21.16

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from

103.79.143.234

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

rom

103.79.143.234 port 57019 ssh2

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

解决方法

1.修改root用户密码

2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问

3.配置iptables,使iptables

重装SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包:

openssh-clients,openssh-server,openssh,openssh-askpass

删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.安装

使用yum逐一安装,yum install openssh-askpass **

安装openssh-server时提示:

unpacking of archive failed on file /user/sbin/sshd cpio:rename

删除文件提示Operation not permitted错误

查询文件的隐藏属性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性

使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功

+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数

再次yum install openssh-server 成功

3.配置ssh登录控制,设置管理IP,黑白名单

vi /etc/ssh/sshd_config

#修改端口号

Port 52111

#只允许SSH2方式的连接

Protocol 2

#容许root用户登录,因为后面会设置可登录IP,所以这里就容许了

PermitRootLogin yes

#不容许空密码

PermitEmptyPasswords no

#屏蔽来自所有的SSH连接请求

vi /etc/hosts.deny

sshd: ALL

#允许来自内网指定ip的SSH连接请求

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.253.**

配置对应iptables设置

1.iptables配置规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议] [-s源IP] [-d目标ip] [--dport目标端口号] [-j动作]

这里需要配置的是filter表,filter表中有input,output,forward三条规则链,如果本机服务比较多,规则比较繁琐,比较便捷的方法是写shell脚本之后重启ssh服务

#限制SSH的连接IP

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT

#SSH支持52111是修改后SSH端口

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

这里只是针对SSH做了简单配置,具体iptables的配置,详见iptables配置一文

配置后/etc/rc.d/init.d/iptables save保存,使用service iptables restart重启服务后配置生效。

时间: 2024-10-07 18:26:37

一次linux服务器黑客入侵后处理的相关文章

linux系统被入侵后处理实战

Linux系统被入侵后处理实战 事件背景: 操作系统:centos6.5 运行业务:公司业务系统,爬虫程序,数据队列 服务器托管在外地机房 事件起因: 突然频繁收到一组服务器ping监控不可达邮件,通过zabbix监控系统中,发现流量超高,达到了800M,发现不正常,马上尝试ssh登录系统,不幸的是,这种情况是很难登录系统的. 处理过程: 当时第一反应是想马上切断外部网络,通过内网连接查看 可是这样一来流量就会消失,也就很难查找攻击源了,于是联系机房协助解决,授权机房技术登录到系统: 1.检测系

linux系统被入侵后处理过程

背景 --> 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列. 服务器托管在外地机房. 故障起因 --> 突然,频繁收到一组服务器ping监控不可达邮件,赶紧登陆zabbix监控系统查看流量状况. 可见流量已经达到了800M左右,肯定不正常,马上尝试SSH登陆系统,不幸的事,这种情况是很难登录系统操作的. 该怎么办呢? 排查故障 --> 第一反应是想马上切断外部网络,通过内网连接查看.可是这样一来流量就会消失,但也很难查找攻击源了. 于是联系机房协助

linux系统被入侵后处理

前一个礼拜,突然被互联网和技术群中strut2漏洞惊醒,伴随着就是阿里云短信与监控报警,端口被恶意扫描和上传木马文件,出自apache的strut2,简直是运维界的血洗. 来一段当时官方说明 http://0day5.com/archives/4334/ https://cwiki.apache.org/confluence/display/WW/S2-045 Apache Struts2存在S2-045远程代码执行漏洞.远程攻击者利用该漏洞可直接取得网站服务器控制权. 因为我不是开发,stru

记一次Linux服务器被入侵后的检测过程

作者 | 哈兹本德     来源 | FreeBuf 0×00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄-顾客是上帝! 其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注- 0×01 查找木马 首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问

一次Linux服务器被入侵和删除木马程序的经历

一.背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包. 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下. 二.发现并追踪处理 1.查看流量图发现问题 查看的时候网页非常卡,有的时候甚至没有响应. 2.top动态查看进程 我马上远程

Linux服务器安全策略实战

课程介绍 安全是IT行业一个老生常谈的话题了,从近几年层出不穷的安全事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓. 因此做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务. 本课程主要讲解Linux服务器的安全策略. 课程目标 掌握Linux服务器安全策略 适合人群 运维工程师 课时列表 课时1:Linux服务器后门入侵检测工具和使用方法 课时2:Linux服务器遭受网络攻击后的处理思路和措施 开始学习:http://click.aliyun.com/m/27

Linux服务器入侵检测基础

最近遇到了很多服务器被入侵的例子,为了方便日后入侵检测以及排查取证,我查询了一些linux服务器入侵取证的相关资料,并在此总结分享,以便日后查询. 一般服务器被入侵的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡).服务器资源被耗尽(挖矿程序).不正常的端口连接(反向shell等).服务器日志被恶意删除等.那么既然是入侵检测,首先要判断的是服务器是否被入侵,必须排除是管理员操作不当导致的问题,因此入侵检测的第一项工作就是询问管理员服务器的异常现象,这对之后入侵类型的判断非常重要. 在

公司服务器被黑客入侵后你要如何处理?

第一步:断网,无线和有线的都要断开 第二步:分析登录文件信息,搜索可能侵入的途径 被入侵后,决不是重新安装就可以了,还要分析主机被入侵的原因和途径,如果找出了问题点,就可能使您的主机以后更安全,同时也提高了自己的Linux水平. 如果不知道如何找出入侵途径,下次还有可能发生同样的事.一般: (1).分析登录文件:可以通过分析一些主要的登录文件找到对方的IP以及可能出现的漏洞.一般分析的文件为:/var/log/messages和/var/log/secure文件.还可以使用last命令找出最后一

快速自检电脑是否被黑客入侵过(Linux版)

之前写了一篇快速自检电脑是否被黑客入侵过(Windows版), 这次就来写写Linux版本的. 前言 严谨地说, Linux只是一个内核, GNU Linux才算完整的操作系统, 但在本文里还是用通俗的叫法, 把Ubuntu,Debian,RedHat,CentOS,ArchLinux等发行版都统称为Linux. 本文里所说的方法不仅对Linux的发行版适用, 部分方法对Mac OSX操作系统也是适用的. 异常的帐号和权限 如果黑客曾经获得过命令运行的机会, 对方往往会想要将这个机会持续下去,