记一次服务器被攻击经历

最新推荐文章于 2024-08-23 15:05:58 发布
最新推荐文章于 2024-08-23 15:05:58 发布
阅读量4.8k 收藏 2
点赞数 2
文章标签: ssh DDOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhan006/article/details/83653511
版权

    从接手公司服务器两个半星期经常性的无法正常ssh登陆,十次里面有九次半都是显示 ssh_exchange_identification:read:connection reset by peer
    也谷歌很多种原因和解决方案,无非是分两种:一是线程满了,需要更改配置文件把max-session 调大;二则是访问频率太高被服务器列入黑名单了。也跟微软azure那边联系过,一开始推测是因为接入的VPN不稳定可能会导致占用线程,然而问题始终没有得到解决。
    后来偶尔一次终于登陆到服务器,就copy了所有的log文件让微软技术人员帮忙排查一下,结果发现是来自苏州的一个ip从十月一号就开始频繁尝试通过root账户登陆服务器,最为频繁是一个小时尝试登陆1300次,难怪我始终无法正常登陆了。最终确定了黑客的胜利是十一月二号早晨我尝试登入服务器,发现密码错误了,显示authentication failed,跟微软那边技术人员一讨论认为十有八九是被黑了,到中午再尝试登入的时候直接显示port 22: connection refused,明显sshd的config文件已经被修改了,可以百分之百肯定服务器被黑了。
       这次服务器被黑事件可以总结一下,就是如果发现 connection reset by peer这样的问题,而自己这边既没有太过频繁的尝试登陆并且知道会登陆服务器的人不可能太多,那么十有八九就是服务器正在遭受暴力攻破。如果能登陆进服务器的话最好调一下/var/log/secure文件看一下访问记录,把不明的ip 在/etc/hosts.allow 进行封禁
 

后续:微软技术人员后来又发现提醒服务器应该是遭受了DDOS攻击,简单来说就是通过大量的访问占用服务器资源导致真正使用者无法正常工作。由于服务器跟公司内网连接,黑客还有可能会攻击整个公司的内网,所以立刻汇报上级让他们删掉了虚拟机。总的来说从确认被攻击到被攻陷这段时间还是感觉很紧张刺激的,也可能我是个肉鸡没见过大世面。另一方面我对黑客行为真是有点感兴趣,有精力的话想好好学一些网络安全方面的知识,有机会的话成为黑客或者成为一个反黑客。

zhan006
关注
一次系统被sql注入搞挂的惨痛经历
lisu061714112的专栏
04-22 2797
前言 最近我在整理安全漏洞相关问题,准备在公司做一次分享。恰好,这段时间团队发现了一个sql注入漏洞:在一个公共的分页功能中,排序字段作为入参,前端页面可以自定义。在分页sql的mybatis mapper.xml中,order by字段后面使用$符号动态接收计算后的排序参数,这样可以实现动态排序的功能。 但是,如果入参传入: id; select 1 -- 最终执行的sql会变成: select * from user order by id; select 1 -- limit 1,20 –会把后面
服务器攻击怎么办?常见处理方法
qq392465929的博客
07-07 5977
对于企业用户来,最害怕的莫过于服务器遭受攻击了,比如被大量登录、网页被篡改、数据库被非法登录、网络日志异常等,尽管运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器攻击的可能性?如何最大限度的降低攻击服务器造成的影响?...
服务器攻击
做简单的事,做简单的教程
07-15 2245
服务器一直在裸奔,三年多来也一直没有啥问题,直到最近发现访问非常缓慢,一开始我们也没有在意,因为所处的机房,近些日子线路问题不断,以为是线路问题,直到被机房通知服务器攻击了,由于已经影响到了其他机子,把我们限流了。。 突然间感觉就是两眼发蒙,总结问题如下: 机房远在香港,无法立即到机房处理问题。 机房也没有告知是什么样的攻击,或者当前是什么样的状况 服务器也偶然能访问下,感觉不像被DDOS等类似
什么是DDOS攻击?DDOS攻击一小时多少钱?DDOS攻击如何防御?
最新发布
JAVA拾贝
08-23 1251
拒绝服务攻击DDOS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标计算机的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。当黑客使用网络上两个或以上被攻陷的计算机作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称 DDoS 攻击)。
服务器遭受攻击后处理过程
yaodunlin的博客
02-22 1万+
1、切断网路:所有攻击都来自网路,因此在得知系统正遭受攻击后,首先切断网路,保护服务器网路内的其他主机。 2、找出攻击源:通过日志分析,查出可疑信息,同时也要查看系统打开了哪些端口,运行了哪些进程。 3、分析入侵原因和途径:既然是遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚原因,并且查清楚攻击的途径,找到攻击源,只有找到了攻击原因和途径才能进行漏洞的删除和修复。...
服务器经常被攻击怎么办?这7个重要因素要做好!
Chihider的博客
03-13 1666
有很多人经常会遇到这样的问题,平台网站始终被恶意攻击,什么被挂马,什么被黑,每日一大早打开网站,老是会发生各式各样的难题,这确实让网站站长们烦恼。从改动服务器管理账户开始,到改动远程端口,什么对策都进行了,依然会被恶意攻击挂马。 服务器始终被恶意攻击时,要怎么做?接下来,就跟着摩杜云的脚步一起来看看吧! 1、断开网络 对服务器全部的攻击都来自网络,所以,当服务器遭到攻击的情况下,第一步就需要断开网络,不仅可以快速断开攻击源,与此同时也可以保护服务器所属网络的其它主机。 2、查寻攻击源 要依据自身经验和综合性
服务器经常被攻击
坚持的专栏
10-18 2677
原因:部署在服务器上的网站最近经常访问不了,客户端也连接不上服务器服务器是托管在电信机房,机房管理员给我的答复是服务器处于宕机状态。 分析:因为是对服务器或者某个网站不断访问,才导致服务器宕机,查看安全狗服务器软件,发现一个ddos攻击1433端口,如果一直被攻击了,严重影响公司业务 措施:扫描整个服务器文件查杀病毒,排查哪个网站受到攻击,关闭1433端口。限制电脑登录服务器,只有这
一次入侵Linux服务器和删除木马程序的经历
09-15
该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常情况。例如文中提到的服务器流量突然飙升至800Mbps,远超日常水平,...
一次linux服务器攻击的处理经历
kapuchang的博客
02-24 8038
首先发现IO、流量异常。查找登录录,果不其然last命令没有结果,/var/log/wtmp文件被删除。查找/var/log/secure文件中的登录录:grep "Accept" /var/log/secure查dstat的日志文件,正是10:51分开始出现IO异常。用nethogs 、 iftop工具可以查看到本机与几个不知哪的ip端口建立了很多连接。初步处理是打开防火墙,仅打开需要用到的...
一次捡洞的经历.pdf
04-22
攻击者可以利用这一漏洞,在未授权的情况下执行任意代码,从而可能获取服务器的控制权或者窃取敏感信息等。 #### 1.3 影响范围 - **版本**:该漏洞主要影响 Apache Superset 的多个版本,包括但不限于1.4.1之前的...
一次liunx服务器被入侵和删除木马程序的经历
热门推荐
liushangzaibeijing的博客
05-15 5万+
一、背景 之前在腾讯云买了一台云服务器用来自己玩玩,同时也顺手编写了一个程序发布到该服务器上了,之后由于工作的繁忙,无暇顾及该服务的运行状态,最近突然发现原来的程序无法使用显示 无数据显示,登录服务器突然发现服务器特别的卡。 查看程序运行日志发现数据库密码被修改 无法登录,使用top查看进行发现有个程序占用cpu达到91.5%太可怕了,这里不得不吐槽一下腾讯云 挺坑的被当成一...
服务器总是被攻击
cola_wh的博客
01-03 745
服务器总是被一些俄罗斯之类的远程基站攻击,造成这样 那样的问题,1>上传 IP白名单; 2> 针对支付问题,验签一定要放在服务端.
这几天,服务器攻击
用心去做
07-26 1548
由于网络安全方面也是小白,我就写一下整个过程吧。最终也没有彻底解决,希望有经验的朋友看到能够指点一下。 一、官网跳转到博cai网站 今天突然有人反映,打开公司官网,却跳到了一个博cai网站。 我赶紧在浏览器输入公司域名打开看看,一切正常。一开始还以为同事开玩笑,然后他截图过来,还真是。如下图: 对比打开官网的方式之后,我发现,他是在百度搜索,而我是直接输入域名。 于是我也在百度搜索再点击进入...
服务器攻击该怎么办?
weixin_50720651的博客
09-10 990
1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志文件,找出可疑信息,分析可疑程序。 3、分析入侵原因和途径 一定要查清楚遭受攻击的具体原因和途径,有可能是系统漏洞或程序漏洞等多种原因造成的,只有找到问题根源,才能够及时修复系统。 4、备份好用户数据 当服务器遭受攻击的时候,就要立刻备份好用户数据,同时也要注意这些数据是否存
服务器攻击怎么办
weixin_67757219的博客
04-20 669
很多刚创业的小伙伴当自己的服务器攻击的时候会特别迷茫不知所措。其实在互联网行业遭受恶意攻击不是一件稀奇的事,有来自同行的竞争,黑客的勒索,还有一部分找肉鸡的扫描。所以说千万不要一被攻击就乱了自己的手脚。找个专业的安全团队就能轻松解决的问题,有什么可急躁的。 小蚁云安全团队从业服务器防御有着十几年的经验,针对DDOS、CC、渗透、入侵等等都有着自己完善的防御体系。防御产品从高防IP、高防CDN、小蚁盾、大禹立体式抗D体系、WAF防火墙、入侵检测等等络绎不绝,没有防不住的攻击只有你不找我们。 今天就先给大家介
服务器一直被攻击怎么办?
weixin_45869730的博客
07-09 2606
有很多人问说,网站一直被攻击,什么被挂马,什么被黑,每天一早打开网站,总是会出现各种各样的问题,这着实让站长们揪心。从修改服务器管理账号开始,到修改远程端口,什么措施都做了,还是会被攻击挂马。 服务器一直被攻击时,要怎么做? 1、切断网络 对服务器所有的攻击都来源于网络,因此,当服务器遭受攻击的时候,首先就要切断网络,一方面能够迅速切断攻击源,另一方面也能保护服务器所在网络的其他主机。 2、查找攻击源 要根据自身经验和综合判断能力,通过分析系统日志或登录日志...
服务器经常被攻击的原因?
AnyueCloud的博客
09-26 1299
一、CC攻击:CC攻击的原理便是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽,一直到宕机溃散。CC主要是用来攻击页面的,每个人都有这样的体会:当一个网页拜访的人数特别多的时分,翻开网页就慢了,CC便是模仿多个用户(多少线程便是多少用户)不停地进行拜访那些需求许多数据操作(便是需求许多CPU时间)的页面,形成服务器资源的糟蹋,CPU长期处于100%,永远都有处理不完的衔接直至就...
服务器被人打时我们该怎么办呢
09-27 872
服务器攻击后我们该怎么办呢? 服务器攻击得断开所有网络连接具体方法如下: 一、断开所有网络连接。服务器之所以被攻击是因为连接在网络上,因此在确认系统遭受攻击后,第一步一定要断开网络连接,即断开攻击。 二、根据日志查找攻击者。根据系统日志进行分析,查看所有可疑的信息进行排查,寻找出攻击者。 三、根据日志分析系统漏洞。根据系统日志进行分析,查看攻击者是通过什么方式入侵到服务器的,通过分析找出系统所存在的漏洞。 四、备份系统数据。在备份系统数据时,一定要注意所备份数据是否夹杂攻击源,若存在,一定及时删
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值