一、服务器入侵现象
近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是:服务器 CPU 资源长期 100%,负载较高。服务器上面的服务不能正常提供服务。
朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了。开始上手看看了。
二、服务器排查和处理
2.1、服务器被入侵的可能原因
- 服务器 ssh 密码 设置得很简单。
- 腾讯云安全组范围放得很大。
- 使用了宝塔,宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。
2.2、排查和处理步骤
1、ps -ef / top 找出占用进程最大的服务
问题现象
ps/top 命令 已经被替换了。
2、查找详细的入侵痕迹 last 或者 grep 'Accepted' /var/log/secure。
问题现象
[root@VM-12-12-centos ~]# grep 'Accepted' /var/log/secure
Aug 26 21:51:37 VM-12-12-centos sshd[19822]: Accepted password for root from 34.215.138.2 port 36720 ssh2
Aug 27 08:52:05 VM-12-12-centos sshd[3053]: Accepted password for root from 127.0.0.1 port 57534 ssh2
Aug 27 08:58:50 VM-12-12-centos sshd[7038]: Accepted password for root from 127.0.0.1 port 57548 ssh2
Aug 27 09:10:02 VM-12-12-centos sshd[14830]: Accepted publickey for lighthouse from 106.55.203.49 port 44204 ssh2: RSA SHA256:123456/UIbl8
Aug 27 09:10:03 VM-12-12-centos sshd[14913]: Accepted publickey for lighthouse from 81.69.102.49 port 60820 ssh2: RSA SHA256:123456/UIbl8
Aug 27 09:14:08 VM-12-12-centos sshd[17307]: Accepted password for root from 127.0.0.1 port 57690 ssh2
Aug 27 09:34:22 VM-12-12-centos sshd[29150]: Accepted publickey for lighthouse from 106.55.203.55 port 38044 ssh2: RSA SHA256:123456/UIbl8
Aug 27 09:34:23 VM-12-12-centos sshd[29233]: Accepted publickey for lighthouse from 81.69.102.60 port 51190 ssh2: RSA SHA256:123456/UIbl8
复制代码lighthouse 腾讯云轻量服务器
我们在这里就可以看到,有一些境外IP 34.215.138.2 成功登录了,这些 IP不是我们的正常登录。在 /var/log/secure 日志里,我看到了 IP 34.215.138.2 尝试登录不到500次 就已经破解成功了。
处理措施
这里我们立马采取了第一个措施,
- 在腾讯云安全组限制了 SSH 的登录IP, 之前的安全组 SSH 是放行所有IP。
- 将 SSH ROOT 密码修改。
- /root/.ssh/authorized_keys 备份,并清空。
[root@VM-12-12-centos ~]# cp -rp /root/.ssh/authorized_keys /root/.ssh/authorized_keys.bak
cp: cannot create regular file ‘/root/.ssh/authorized_keys.bak’: Permission denied
复制代码这时我们就遇到了权限的问题,这个晚点展开讲,因为我们已经限制了源IP, 所以这个我们可以晚点来处理。
3、查看最近新增的一些用户
问题现象
cat /etc/passwd
处理措施
锁定用户
[root@VM-12-12-centos ~]# usermod -L sys1
复制代码4、我这里
最低0.47元/天 解锁文章
665
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
