一次linux服务器黑客入侵后处理

于 2024-08-22 14:19:14 发布
阅读量349 收藏 6
点赞数 10
文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y19910825/article/details/141427126
版权

https://www.cnblogs.com/lodestar/p/7155820.html

 场景:

周一上班centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录

使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   

root     pts/1        :1.0             Mon Jul  3 11:08 - 11:09  (00:01)    

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   

root     tty1         :0               Mon Jul  3 10:53   still logged in   

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 - 11:11  (00:25)    

root     pts/0        :0.0             Mon Jul  3 10:42 - down   (00:01)    

root     tty1         :0               Mon Jul  3 10:40 - down   (00:03)    

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 - 10:44 (1+08:12)   

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 - 02:27  (00:00) 

Jul  2 03:11:20 oracledb rsyslogd: [origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

http://www.rsyslog.com"] rsyslogd was HUPed

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

使用less /var/log/messages命令2点结合last命令,判断2点重启后IPATABLES生效,有大量的ssh暴力破解的扫描信息,由于机器是测试环境,上面安装了ORACLE和squid,临时管理了iptables,重启后iptables启动,应该没有再次被再次登录,但是系统中部分文件以及被修改

message文件中部分信息如下:

103.207.37.86

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

103.207.37.86 port 58311 ssh2

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 

103.79.143.234

113.108.21.16

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 

103.79.143.234

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

rom 

103.79.143.234 port 57019 ssh2

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

解决方法

1.修改root用户密码

2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问

3.配置iptables,使iptables

重装SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包:

openssh-clients,openssh-server,openssh,openssh-askpass

删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.安装

使用yum逐一安装,yum install openssh-askpass **

安装openssh-server时提示:

unpacking of archive failed on file /user/sbin/sshd cpio:rename

删除文件提示Operation not permitted错误

查询文件的隐藏属性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性

使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功

+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数

再次yum install openssh-server 成功

3.配置ssh登录控制,设置管理IP,黑白名单

vi /etc/ssh/sshd_config

#修改端口号

Port 52111

#只允许SSH2方式的连接

Protocol 2

#容许root用户登录,因为后面会设置可登录IP,所以这里就容许了

PermitRootLogin yes

#不容许空密码

PermitEmptyPasswords no

#屏蔽来自所有的SSH连接请求

vi /etc/hosts.deny

sshd: ALL

#允许来自内网指定ip的SSH连接请求

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.253.**

配置对应iptables设置

1.iptables配置规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议] [-s源IP] [-d目标ip] [--dport目标端口号] [-j动作]

这里需要配置的是filter表,filter表中有input,output,forward三条规则链,如果本机服务比较多,规则比较繁琐,比较便捷的方法是写shell脚本之后重启ssh服务

#限制SSH的连接IP

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT

#SSH支持52111是修改后SSH端口

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

这里只是针对SSH做了简单配置,具体iptables的配置,详见iptables配置一文

配置后/etc/rc.d/init.d/iptables save保存,使用service iptables restart重启服务后配置生效。

分类: linux

好文要顶 关注我 收藏该文 微信分享

征尘bjajmd
关注
  • 10
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IT运维Linux服务器监控方案.doc
06-07
IT运维Linux服务器监控方案 随着Linux应用日益广泛,绝大部分的网络服务器都使用Linux操作系统。为了全面掌握 网络服务器的运行状况和趋势,需要对服务器进行全面的监控。 利用Linux发行版搭建一个网络服务器可能...
一种基于Linux的多功能安全电子邮件服务器的设计与实现
04-19
综上所述,本文介绍的基于Linux的多功能安全电子邮件服务器,不仅提供了标准的邮件服务,还集成了防火墙、入侵检测、灾难恢复和数字水印日志等高级安全技术。这种集成式的设计大大增强了邮件服务器的安全性和可靠性...
Linux服务器入侵之后的处理方法
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-13 1743
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)—现场保护–服务器保护—影响范围评估—在线分析—数据备份—深入分析----事件报告整理 各阶段说明 核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等
Linux服务器入侵后的处理过程
李振良的技术博客
03-04 1651
突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死。 1、排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看。可是这样一来流量就会消失,就很难查找攻击源了。 于是联系机房协助解决,授权机房...
黑客|记一次 Linux服务器入侵后的排查思路
Python_0011的博客
07-28 898
是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。与Scheme、Ruby、Perl、Tcl等动态语言一样,Python具备垃圾回收功能,能够自动管理内存使用。它经常被当作脚本语言用于处理系统管理任务和网络程序编写,然而它也非常适合完成各种高级任务。Python虚拟机本身几乎可以在所有的作业系统中运行。使用。.
Linux服务器入侵后的排查思路(应急响应思路)
人若有志,就不会在半坡停止。
11-12 2101
黑客在9月6日14:31:39——14:33:11对服务器进行爆破,且在 14:33:09成功爆破出root账户密码并且进行登录,登录之后在9月6日14:37:22 植入了 .shell.elf 后门(根据成功爆破出root账户的时间可知 9月5日18:00:06 为 .shell.elf后门的创建时间,并非植入时间)、在14:38:00 植入了 /.centos_core.elf 后门、在 14:43:31 植入了ps命令后门、在 14:48:08写了恶意定时任务,恶意IP为192.168.1.132。
Linux服务器挖矿病毒处理
自己在学习过程中的总结
06-19 1561
情况说明:挖矿进程被隐藏(CPU占用50%,htop/top却看不到异常进程),结束挖矿进程后马上又会运行起来(crontab -l查看发现没有定时任务)。1.中毒表现 2.解决办法:断网并修改root密码,找出隐藏的挖矿进程,关闭病毒启动服务,杀掉挖矿进程 3. 防止黑客再次入侵:查找异常IP,封禁异常IP,查看是否有陌生公钥。中毒表现:服务器是24核的,前12核的CPU占用一直处于100%,即使重启服务器,马上就会占用12核的CPU,并且系统内存占用也很大。在没有使用软件的情况下,CPU使用率很高。
Linux系统被入侵后处理经历
运维架构师
02-04 2995
背景 操作系统:Ubuntu12.04_x64 运行业务:公司业务系统,爬虫程序,数据队列。 服务器托管在外地机房。 突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 可见流量已经达到了 800M 左右,肯定不正常,马上尝试 SSH 登陆系统,不幸的事,这种情况是很难登录系统操作的。 该怎么办?
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1258
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
Linux入侵排查
m0_72286569的博客
07-14 1248
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
黑客入侵Linux服务器的一万种玩法...
HollisChuang's Blog
02-24 2000
作者:高俊峰编辑:陶家龙、孙淑娟出处:https://www.cnblogs.com/MYSQLZOUQI/p/5317916.html安全是 IT 行业一个老生常谈的话题了,从之前的“...
Linux 服务器黑客入侵后,运维该如何紧急处理?
Linux云计算数据自学
09-07 1341
场景:周一上班时centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上...
看懂Linux的日记.pdf
09-06
然而,由于黑客通常会在入侵后清除日志并留下后门,因此对日志的可靠性和分析方法需要有深入的理解。 Syslog配置文件通常位于`/etc/syslog.conf`,它定义了如何处理和记录日志信息的行为。每个设置项占一行,包含...
重返自己的战场——浅谈LINUX下的后门技术.pdf
09-07
首先,黑客想要成为Linux服务器的ROOT用户,主要是为了获取对系统资源的控制,包括网络、CPU、硬盘空间以及敏感数据。然而,一旦入侵行为被管理员发现并修复,黑客就需要找到一种方法重新进入系统,这就涉及到了后门...
LINUX_2.6.9_通杀EXP
03-10
Linux 2.6.9 是一个历史悠久的内核版本,发布于2005年,是Linux操作系统核心的一个重要里程碑。这个版本包含了诸多改进和新特性,为当时的服务器和桌面环境提供了稳定的基础。然而,随着时间的推移,安全漏洞的出现...
Redis远程字典服务器(7)—— set类型详解
aaqq800520的博客
08-16 819
上面的玩法,某音是玩得最好得,其他互联网大厂一看,也都纷纷效仿和跟进 --> 信息茧房 --> 你看到的东西都是你愿意看到的,你不愿意看的就很难被你看到 --> 你看到的内容始终是一个小圈子 --> 到处传递焦虑的,当你很认真看了一个焦虑视频之后,人家服务器就判定,你非常爱看这种类型的视频,然后就给你狂推送。“用户画像”,这种事情其实是挺复杂的事情,一般的大厂都会有专门的团队做这样的工作,用来准确描述一个人的喜好等。这里说的标签,就是一些简短的字符串,此时就可以把标签保存到Redis的set中了。
Linux文件属性和打包压缩详解
linux运维工程师
08-17 916
总用量 72K3505 lrwxrwxrwx. 1 root root 7 3月 7 2019 bin -> usr/bin262152 dr-xr-xr-x. 5 root root 4.0K 12月 19 16:00 boot399635 drwxr-xr-x 2 root root 4.0K 11月 5 2019 data1026 drwxr-xr-x 19 root root 3.0K 1月 7 16:14 dev。
【Mudo库】实战项目之服务器模块
最新发布
Shun_Hua的博客
08-18 1031
本篇文章主要是衔接上篇文章,从代码的角度帮助各位读者进一步理解服务器模块,希望对各位有所帮助!
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 754
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值