记一次服务器被攻击始末

最新推荐文章于 2023-10-31 09:34:04 发布
最新推荐文章于 2023-10-31 09:34:04 发布
阅读量658 收藏
点赞数 1
分类专栏: mysql linux java 文章标签: centos linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dh_jm/article/details/74361601
版权
java 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
linux
3 篇文章 0 订阅
订阅专栏
mysql
2 篇文章 0 订阅
订阅专栏

    本文地址:www.daihui.xyz

     之前看鸟哥的linux私房菜,一直都是略过服务器登录日志什么的,结果在今天栽了跟头。之前放在服务器上的网站一直没时间去看,结果今天点开一看居然访问不了了,查看tomcat竟然连项目都没有了,简直诧异。于是查看了所开的几个账号的登录日志和操作记录也没有发现什么异常。得出结论:肯定就是被人攻击进去删的。于是查看登录档,发现有如下记录:

Jul  4 21:23:57 irGZky105050 sshd[23131]: input_userauth_request: invalid user root [preauth]
Jul  4 21:24:00 irGZky105050 sshd[23131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 
      euid=0 tty=ssh ruser= rhost=113.116.41.244  user=root
Jul  4 21:24:00 irGZky105050 sshd[23131]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jul  4 21:24:02 irGZky105050 sshd[23131]: Failed password for invalid user root from 113.116.41.244 port 64985 ssh2
Jul  4 21:33:09 irGZky105050 sshd[23264]: Accepted password for daihui from 59.63.249.55 port 58607 ssh2

    如上显示的只是一部分,查了一下ip不只是哪个外星的。登进去就算了,竟然还厚颜无耻的把我的项目给删了,那就怪不得我了,话不多说先把这些ip加入黑名单:

命令行执行命令,将该ip列为禁止访问列表,*为ip:iptables -I INPUT -s ***.***.***.*** -j DROP
加完之后大概有这么些被禁止了,查看: iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  62.112.11.8          anywhere
DROP       all  --  103.230.222.226      anywhere
DROP       all  --  103.242.64.26        anywhere
DROP       all  --  host-11-230.internetunion.pl  anywhere
DROP       all  --  5.140.145.63         anywhere
DROP       all  --  123.183.209.135      anywhere
DROP       all  --  116.31.116.11        anywhere
DROP       all  --  123.183.209.135      anywhere
DROP       all  --  211.142.139.13       anywhere
DROP       all  --  59.63.249.52         anywhere

     但是禁止这些是远远不够的,稍微会玩的都会换ip登录,所以只得进一步加强防范,目前也只是禁止root用户ssh登录,并且更改了端口具体步骤如下:

首先是禁止root用户ssh登录,在网上查了一下,千篇一律复制粘贴呀,不要太坑而且没啥用,可能是centos7不一样吧。网上大致有如下一个版本:

修改/etc/ssh/sshd_conf 文件,将 PermitRootLogin yes 修改为 no 如下:
# PermitRootLogin yes  ----》  PermitRootLogin no
然后重启,service restart sshd,然而在我这边并没有什么用,不知道是什么原因,root还是照样登录,这样只能换一种方式了。
我的做法是在该文件的末尾添加了如下语句:
  AllowUsers  user1,user2
该行的意思是只允许user1,user2进行ssh登录,然后重启使用如下命令:
  systemctl restart sshd 
 再使用root用户进行登录进不可行了,同时修改了登录端口,默认为22,也在sshd_conf中修改:
  #Port 22   ----》  Port 端口
 之后重启sshd即可。

到此为止总算暂时防止了再被人莫名其妙的登录了,没有办法只能继续看看鸟哥了

浮华而已灬
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pam_succeed_if(sshd:auth): requirement “uid 」= 1000“ not met by user “root“
逐月
07-07 1万+
有下面两种情形: cat /etc/shadow | grep root 查看root用户是否被锁定。如果出现 root:!!$6$CG (注意其中的!!)则说明root用户被锁定,不能登陆。 解决方案: passwd -u root 解除用户锁定。 查看PAM配置文件 /etc/pam.d/login, /etc/pam.d/sshd /etc/pam.d/system-auth中是否有 auth required pam_succeed_if.so uid >= 1000; 修改或者注释该
安全日志:/var/log/secure 详解
weixin_49129782的博客
07-06 8842
安全日志:/var/log/secure /var/log/secure 一般用来录安全相关的信息,录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码,或 爆力破解: [root@localhost ~]# tail /var/log/secure Dec 27 14:04:51 139 sshd[30956]: Disconnecting: Too many authentication failures [preauth] Dec 27 14:04:53 13
ssh用户密码正确但是登录时却报被拒绝
热门推荐
qq_42048263的博客
10-07 3万+
问题: 有时候,在使用SSH登录到服务器时,明明密码正确,但是登录时候却报被拒绝,这是什么原因呢? 解决思路: 1、此时我们可以查看Linux服务器的安全日志文件/var/log/secure,若无异常可以看到如下类似报错异常 Oct 6 21:44:47 hostname sshd[265919]: input_userauth_request: invalid user admin [preauth] Oct 6 21:44:47 hostname sshd[265919]: Failed..
Linux创建用户并授予SSH权限
adinlead的博客
03-01 8041
本次的目的为,创建一个work用户,设置密码并允许其使用SSH密码登录
ssh配置免密登录失败的几种情况
HRay's blog
11-21 1万+
1.最常见的,权限问题,.ssh目前权限要为700,authorized_keys权限要600 2.部分操作系统里新创建的用户默认是锁定的,这种情况下认证失败在/var/log/secure中会看到如下错误 Nov 21 11:04:26 host-xxxxx sshd[14011]: User test not allowed because account is locked Nov 21...
亲身经历的局域网arp攻击事件始末
01-11
亲身经历的局域网arp攻击事件始末
08年次贷危机的始末.pptx
09-23
08年次贷危机的始末.pptx
一根线贯穿内容始末的无缝接简洁创意动画ppt模板.rar
09-09
标题中的“一根线贯穿内容始末的无缝接简洁创意动画ppt模板”暗示了这是一个设计独特的PPT模板,其中的关键特征是一条线性元素被巧妙地运用于整个演示文稿中,起到连接各个内容的作用,提供了视觉上的连续性和一致性...
夏俊峰案始末.doc
09-19
夏俊峰案始末.doc
2014年1月21日全国DNS污染始末以及分析
03-23
=w=大概今天15:30的时候,Ovear正在调试新的服务器,结果发现肿么突然上...为什么说DNSPOD被黑了呢,其实以前DNSPOD就出过一次类似的问题,导致所有的域名都跪了,刚好Ovear这个域名还有测试的几个域名都是那里的,然后
centos7安装mysql8
最新发布
renkai721的专栏
10-31 487
lower-case-table-names,requirement "uid >= 1000" not met by user "root"
安全日志:/var/log/secure(转载 https://www.cnblogs.com/pzk7788/p/10184740.html)
冬的博客
04-08 1692
安全日志:/var/log/secure** 转自: https://www.cnblogs.com/pzk7788/p/10184740.html /var/log/secure 一般用来录安全相关的信息,录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码 [root@localhost ~]$ tail /var/log/secure Dec 27 ...
linux错误日志sshd,ssh登陆失败完整日志
weixin_42531588的博客
05-01 2281
May 29 08:06:59 EllipticalLovely-VM sshd[17803]: error: Could not load host key: /etc/ssh/ssh_host_ecdsa_keyMay 29 08:06:59 EllipticalLovely-VM sshd[17803]: error: Could not load host key: /etc/ssh/ss...
SSH命令登录Linux出现“Permission denied, please try again.”错误
月夜长影
05-07 4104
检查系统的log文件:/var/log/auth.log 发现如下的录 May 7 03:41:09 ubuntu02-X785-G30 sshd[2598]: User xxx from 10.2.89.240 not allowed because not listed in AllowUsers May 7 03:41:09 ubuntu02-X785-G30 sshd[2598]: input_userauth_request: invalid user xxx [preauth] May
服务器被sfewfesfs病毒攻击
03-16 849
sfewfesfs病毒,或者叫nhgbhhj病毒是一种肆虐于linux服务器上的病毒。从名字上可以看出来病毒的创作者对它的名字是随机取的,就是要增加它的隐蔽性。本来以为这种事情离我很远,但是一次疏忽的操作导致我的个人VPS差点挂掉,在这里录下来也算是给大家提个醒吧。 起因 其实起因现在看起来也是有点愚蠢,因为我最近对discourse这个新兴的论坛程序很感兴趣,再加上它有个特性是可以跟dis
zabbix远程mysql数据库_zabbix监控数据库
weixin_33417371的博客
02-22 455
1. 在zabbix-agent端添加键值vim /etc/zabbix/zabbix_agentd.d/mystat.confUserParameter=mystat[*],/server/scripts/chk_mysql.sh '$1'  # 键值是mystat[]2. 服务端命令行测试键值[root@zabbix ~]# zabbix_get -s 172.16.1.51 -k mysta...
git客户端服务端搭建,解决提示输入密码的问题
luo381821的博客
08-13 676
1.检查是否已经安装 whereis git 2.到官网下载git的tar.gz包 cd /usr/local/tmp wget https://github.com/git/git/archive/v2.28.0.tar.gz tar -zxvf v2.28.0.tar.gz mv git-2.28.0 /usr/local/git-2.28.0 3.编译安装 cd /usr/local/git-2.28.0 ./configure make make install 4.
用python写一个计算始末时间差的程序
05-18
以下是一个示例程序: ```python from datetime import datetime start_time = input("请输入开始时间(格式为YYYY-MM-DD HH:MM:SS):") end_time = input("请输入结束时间(格式为YYYY-MM-DD HH:MM:SS):") ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值