记录一次Linux服务器被攻击

最新推荐文章于 2024-04-29 13:37:03 发布
最新推荐文章于 2024-04-29 13:37:03 发布
阅读量2.2k 收藏 5
点赞数
文章标签: linux 服务器攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24762673/article/details/80816354
版权

昨日发现访问阿里云服务器上的网站突然很卡,于是准备找一下原因

1.free -m 内存使用正常
2.df -h 磁盘使用也无异常
3.top 发现了不对劲,当时的负载都是在1以上,下面的进程始终有一个CPU占用率超过
100%。(截图时已经修复)


4.lsof -p PID 发现tcp连接了一个国外的IP


于是kill进程,以为成功,结果再次查看,又有一个不同名的进程高占用cpu。重启服务器,还是同样的情况。
心里一凉,怕是被抓当肉鸡了。。
5.小白于是开始疯狂百度。终于找到“前人栽的树”。
http://blog.51cto.com/402753795/1744285
https://www.dwhd.org/20150908_191437.html#comments
最后找到木马并删除了,修复途中涉及修改文件权限而后又忘了改回去,又导致其他问题。。幸好,最后的最后,都解决了
整个过程,学到了不少东西,记录一下。



咿呀咿呀嘿嘿
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次linux服务器入侵应急响应(小结)
01-10
近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为。希望我们能协助排查问题。 一、确认安全事件 情况紧急,首先要确认安全事件的真实性。经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接ping通,且开放了22远程端口。从这点基本可以确认服务器已经被入侵了。 二、日志分析 猜想黑客可能是通过SSH暴破登录服务器查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,符合暴力破解特征 通过查看
日常随笔——frp内网穿透的使用以及相关问题
Overvautious的博客
10-27 2491
这几天在别人那整了一台服务器,但怎么连接也是一个问题,由于不在同一个内网,所以需要借助内网穿透工具。好不容易解决了内网穿透,结果接连两天,内网穿透端口都一直被人攻击(心中一万只草泥马奔腾而过)。因此,这里也记录一下如何防护陌生IP攻击。 1. 内网穿透frp 什么是内网穿透: 主机A在10.21.0.0/16 局域网内,主机B在10.39.0.0/16 局域网内,那么这两台主机不能相互通信。此时需要做的就是找一台中介服务器,作为这两台主机的通信媒介。 实现内网穿透后能做什么: 实现了后就可以在校外直接访问校
FRP内网穿透如何避免SSH暴力破解(一)
Peter's Blog
02-06 751
FRP作为高性能内网穿透工具,广泛运用在高校和企业的内网服务器穿透,让内部服务器可以通过外网访问内部资源。但是FRP给运维人员带来便利的同时,也暗藏被Hacker爆破攻击的风险。传统防止SSH被扫描爆破的方法有很多,比如关闭密码认证只允许ssh密钥认证、Fail2ban封掉扫描机器ip等等。但是由于FRP服务器无法区分异常流量,目前已有的方法只能在内网服务器部署,大量来自攻击者的流量仍会占据大量FRP隧道资源。同时来自FRP服务器的流量来源ip都是127.0.0.1,难以用Fail2ban过滤。
Linux遇到黑客入侵,如何应急响应
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-24 898
如果你也想学习:黑客&网络安全的SQL攻防近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是:服务器 CPU 资源长期 100%,负载较高。服务器上面的服务不能正常提供服务。朋友处理了一会没有解决,我开始想说我不是搞安全的,我怎么会,但朋友开出了天价,一顿海底捞,我在生活和现实面前低头了,开始上手看看了。服务器 ssh 密码,设置得很简单。腾讯云安全组范围放得很大。使用了宝塔,宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。
Linux系统运维脚本:统计频繁访问linux主机特定端口的IP地址,看是否有来自某个IP的网络攻击
weixin_70208651的博客
03-14 921
检查是否有网络攻击,首先要进行抓包,针对特定的端口(比如常用的80端口,8080端口),然后对抓到的数据包进行分析。最常见的tcpdump进行抓包,然后通过awk,cut等工具对数据包进行分析,最后把所有发过来的数据包筛选出来,统计。可结合timeout命令生成脚本,用crontab工具,周期性的进行检测,若出现异常,给出提示。
如何判断Linux服务器是否被入侵?_centos查找攻击来源(1)
最新发布
2401_83947105的博客
04-29 957
a.查看/var/log/secure文件,发现已经没有该文件b.使用lsof命令查看当前是否有进程打开/var/log/securec.从上面的信息可以看到 PID 1264(rsyslogd)打开文件的文件描述符为4。同时还可以看到/var/log/ secure已经标记为被删除了。因此我们可以在/proc/1264/fd/4(fd下的每个以数字命名的文件表示进程对应的文件描述符)中查看相应的信息,如下:d.从上面的信息可以看出,查看/proc/1264/fd/4就可以得到所要恢复的数据。
排查Linux服务器是否被入侵步骤
rendongxingzhe的博客
11-22 1467
Linux操作系统安全,排查Linux服务器是否被入侵步骤
Linux入侵排查
Williamanddog的博客
02-09 1079
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。使用环境:CentOS针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,常见 Linux 服务器入侵排查的思路如下。
Linux入侵排查深入分析查找入侵原因
Climbman的博客
06-23 1068
入侵检测排查,运行 /etc/init.d/sshd restart(Centos7以下)或 systemctl restart sshd(Centos7及其以上)或 /etc/init.d/ssh restart(Debian/Ubuntu)命令重启使配置生效。检查说明:查看/etc/crontab,/etc/cron.d,/etc/cron.daily,cron.hourly/,cron.monthly,cron.weekly/是否存在可疑脚本或程序。针对个别目录设置可写权限。
Kali Linux DDos攻击、CC攻击、ARP攻击
qq_61901169的博客
06-03 1944
注:Kali官网下载可以直接打开的2023版本的虚拟机无法运行。
Linux服务器配置与管理:linux防火墙基础.pptx
05-01
熟悉: Linux防火墙的历史演进与架构 【能力目标】 能够描述firewalld防火墙的组成 【思政目标】 培养学生职业素养和信息安全意识。 防火墙——是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全...
linux 服务器安全设置教程
01-20
一、系统安全记录文件  操作系统内部的记录文件是检测是否有网络入侵的重要线索。... 用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只
linux中 shell 历史命令记录功能
01-10
通过这个文件可以查询 shell 命令的执行历史,有助于运维人员进行系统审计和问题排查,同时在服务器遭受黑客攻击后,也可以查询黑客登录服务器的历史命令操作。但是黑客在入侵后,为了抹除痕迹,会删除 .bash_...
Linux操作系统服务器日志管理详解
03-04
日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪...
Linux恶意攻击自查方案
W1124824402的博客
12-12 1592
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
服务器攻击怎么办?常见处理方法
qq392465929的博客
07-07 5748
对于企业用户来,最害怕的莫过于服务器遭受攻击了,比如被大量登录、网页被篡改、数据库被非法登录、网络日志异常等,尽管运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器攻击的可能性?如何最大限度的降低攻击服务器造成的影响?...
如何判断Linux服务器是否被入侵了,该怎么对服务器进行安全加固
dexunyun的博客
12-27 898
inetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果我们看到输出了一个类似inetd –s /tmp/.xxx之类的进程,着重看inetd –s后面的内容。以上是对入侵的一些安全措施,其实在我们确定了服务器有被入侵的情况后,最好的方法就是备份好数据重装系统,不要抱着修复这台服务器,接着就放心使用了,我们无法知道入侵者做过什么,因此是无法保证这台服务器完全安全。但需要注意的是,安全加固是一个持续的过程,需要定期检查和更新安全策略和配置,以应对不断变化的安全威胁。
服务器攻击怎么办?如何防止服务器攻击
oldboyedu1的博客
12-02 2478
目前,服务器遭受攻击已经成为屡见不鲜的事情了,而且大部分企业都发生过服务器攻击的情况,从而导致业务无法正常运行,造成严重的损失和影响。4、设置防火墙,防火墙是可以在部分攻击上打到抵御的效果的,禁用一些不用的端口防止非法分子利用其端口进行攻击,同时可以通过防火墙设置把攻击重定向。2、网站业务添加CDN,预算充足的情况下可以考虑添加CDN,但是大流量的攻击可能产生高额CDN费用,需要酌情考虑。5、提升服务器配置,一般的攻击如果不是非常猛烈,可以适当提升服务器带宽,CPU和内存,保证资源不被攻击消耗殆尽。
linux 服务器应急响应请提交攻击者使用的操作系统
08-10
Linux服务器应急响应中,提交攻击者使用的操作系统是非常关键的一步,它有助于我们了解攻击者的背景和行为特征,进而采取相应的防御措施。 一般而言,在应急响应过程中我们可以通过以下几种方式来获取攻击者使用的操作系统: 1. 日志分析:通过分析服务器的系统日志、web日志等记录,可以发现攻击者的行为痕迹。攻击者可能会在攻击过程中留下一些被动的信息,如使用的操作系统特有的错误信息、访问的路径等等。 2. 网络流量分析:通过分析网络流量数据包,了解攻击者的网络通信方式和特征。攻击者在与服务器通信时,可能会在数据包中包含一些特定的操作系统标识符或者特征信息,如TCP/IP的SYN/ACK标识等。 3. 恶意文件分析:如果攻击者通过向服务器传送恶意文件来实施攻击,我们可以通过对这些恶意文件进行分析,查看其中包含的信息。恶意文件可能包括可以提供有关攻击者的操作系统信息的特征文件、配置文件等。 4. 侦查技术:在一些情况下,我们可以通过使用侦查技术主动获取攻击者的操作系统信息。这包括通过向攻击者发送特定的网络请求或者通过钓鱼攻击等手段,让攻击者暴露出其操作系统信息。 总的来说,获取攻击者使用的操作系统是一项复杂而重要的工作,需要综合运用日志分析、网络流量分析、恶意文件分析和侦查技术等多种方法。通过对攻击者操作系统的了解,我们可以更准确地评估威胁的程度,并采取相应的安全防护措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值