1次linux服务器黑客侵略后处理

By admin in 美高梅手机版4858 on 2019年4月17日

 场景:

 场景:

1次linux服务器黑客凌犯后甩卖,linux后处理

 场景:
周一上班centos服务器ssh不可用,web和数据库等选取不响应。辛亏vnc能够登入使用last命令查询,2号从前的登入音信已被清空,并且sshd文件在周伍晚间被修改,周日晚间二点服务器被人远程重启
root     pts/一        :一.0             Mon Jul  三 1一:0玖   still logged in   
root     pts/一        :一.0             Mon Jul  三 1壹:0八 – 11:0九  (00:0一)    
root     pts/0        :0.0             Mon Jul  叁 十:54   still logged in   
root     tty一         :0               Mon Jul  三 拾:五三   still logged in   
reboot   system boot  贰.陆.3二-69六.3.2.e Mon Jul  三 十:4陆 – 1一:11  (00:二五)    
root     pts/0        :0.0             Mon Jul  3 10:4贰 – down   (00:0一)    
root     tty一         :0               Mon Jul  叁 10:40 – down   (00:0三)    
reboot   system boot  二.陆.3二-6九陆.三.二.e Sun Jul  2 0二:3一 – 十:4肆 (一+0八:12)   
reboot   system boot  贰.六.32-43一.el陆.x Sun Jul  二 0二:二7 – 0二:27  (00:00) 
Jul  2 03:1一:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10
” x-pid=”1960″ x-info=” ] rsyslogd was HUPed
Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from
  使用less
/var/log/messages命令二点结合last命令,判别二点重启后IPATABLES生效,有雅量的ssh暴力破解的围观消息,由于机械是测试环境,上面安装了ORACLE和squid,权且管制了iptables,重启后iptables运维,应该未有重新被重新登入,不过系统中有的文件以及被涂改
  message文件中有的音信如下: 十叁.20七.叁柒.86Jul  二 0三:35:1② oracledb sshd[13865]: error: Bad prime description in line 186
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188
Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f
103.207.37.86 port 58311 ssh2
Jul  2 03:45:05 oracledb sshd[1次linux服务器黑客侵略后处理。13887]: Illegal user support from 
103.79.143.234   113.108.21.16
Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 
103.79.143.234
Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f
rom  103.79.143.234 port 57019 ssh2
Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from
  化解形式 壹.改造root用户密码
二.由于sshd文件被修改,重新安装ssh,并设置唯有内定内网IP能够访问
3.安排iptables,使iptables   重装SSHD 1.rpm -qa | grep ssh查询已设置包
系统已安装包: openssh-clients,openssh-server,openssh,openssh-askpass
删除这三个包,删除时centos提示包里面有依靠关系,依照提示从注重关系的最里层起先删除,
依据openssh-askpass openssh openssh-server
openssh-clients这些顺序删除就足以了。   2.安装 使用yum逐壹安装,yum
install openssh-askpass ** 安装openssh-server时提醒: unpacking of
archive failed on file /user/sbin/sshd cpio:rename 删除文件提示Operation
not permitted错误 查询文件的隐藏属性 lsattr /usr/sbin/sshd -u—ia–e
/usr/sbin/sshd
i:设定文件不能够被去除、改名、设定链接关系,同时不能够写入或新添内容。i参数对于文本
系统的庆阳设置有相当的大帮忙。 a
即append,设定该参数后,只可以向文件中添加多少,而无法去除,多用来服务器日志文件安全,唯有root能力设定那几个属性
使用 chattr -ia
/usr/sbin/sshd修改文件的隐藏属性,撤销相应设置之后剔除成功
+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数
再一次yum install openssh-server 成功  
3.陈设ssh登入调控,设置管理IP,黑白名单 vi /etc/ssh/sshd_config
#修改端口号 Port 52111 #只同意SSH二格局的总是 Protocol 2
#兴许root用户登入,因为前边会安装可登⑥IP,所以那边就恐怕了
PermitRootLogin yes #不容许空密码 PermitEmptyPasswords no  
#遮掩来自具有的SSH连接请求 vi /etc/hosts.deny sshd: ALL  
#允许来自内网钦点ip的SSH连接请求 vi /etc/hosts.allow sshd: 1九二.16捌.0
sshd: 1玖贰.16八.贰伍三.**   配置对应iptables设置 一.iptables配置规则
iptables [美高梅手机版4858,-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目的端口号] [-j动作]
那里供给布署的是filter表,filter表中有input,output,forward三条规则链,假若本机服务相比较多,规则相比较麻烦,相比较简便的不二等秘书诀是写shell脚本之后重启ssh服务
#限制SSH的连接IP iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22
-j ACCEPT iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j
ACCEPT
#SSH援救52111是修改后SSH端口 iptables -A OUTPUT -p tcp –sport 5211一 -j
ACCEPT  
那里只是本着SSH做了大概安排,具体iptables的布置,详见iptables配置一文
配置后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后安排生效。    

场景:周一上班centos服务器ssh不可用,web和数据库等接纳不响应。万幸vnc能够登入使用last命令…

fedora18安装ssh

星期1上班centos服务器ssh不可用,web和数据库等选用不响应。幸亏vnc能够登陆

星期一上班centos服务器ssh不可用,web和数据库等利用不响应。还好vnc能够登6

 

选取last命令查询,贰号在此以前的登入消息已被清空,并且sshd文件在周日夜晚被改造,礼拜6夜晚贰点服务器被人远程重启

应用last命令查询,二号在此以前的登陆消息已被清空,并且sshd文件在礼拜2晚间被改造,礼拜六夜间贰点服务器被人远程重启

一、Fedora 启动sshd服务:

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   

一、先确认是还是不是已安装ssh服务:

root     pts/1        :1.0             Mon Jul  3 11:08 – 11:09  (00:01)    

root     pts/1        :1.0             Mon Jul  3 11:08 – 11:09  (00:01)    

 
[[email protected]
~]# rpm -qa | grep openssh-server

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   

 openssh-server-伍.3p壹-1玖.fc12.i6八陆 (那行表示已设置)

root     tty1         :0               Mon Jul  3 10:53   still logged in   

root     tty1         :0               Mon Jul  3 10:53   still logged in   

  若未设置ssh服务,可输入:

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 – 11:11  (00:25)    

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 – 11:11  (00:25)    

  #yum install openssh-server 

root     pts/0        :0.0             Mon Jul  3 10:42 – down   (00:01)    

root     pts/0        :0.0             Mon Jul  3 10:42 – down   (00:01)    

  实行设置

root     tty1         :0               Mon Jul  3 10:40 – down   (00:03)    

root     tty1         :0               Mon Jul  3 10:40 – down   (00:03)    

 

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 – 10:44 (1+08:12)   

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 – 10:44 (1+08:12)   

二、修改配置文件

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 – 02:27  (00:00) 

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 – 02:27  (00:00) 

   #vi /etc/ssh/sshd_config

Jul  2 03:11:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10

Jul  2 03:11:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10

   #Port 2二  监听的端口号,私下认可是2二,能够自定义。

” x-pid=”1960″ x-info=”

” x-pid=”1960″ x-info=”

  #Protocol 二  帮助的合计,默许就好,不用修改

] rsyslogd was HUPed

] rsyslogd was HUPed

  #PermitRootLogin yes 是还是不是同意root直接登6,最棒设置为no

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

    #M马克斯AuthTries 陆最大登入数,暗许是六,建议设置为三,幸免旁人密码穷举。

 

 

   修改完配置后,重启SSH服务:

利用less
/var/log/messages命令二点结合last命令,判定2点重启后IPATABLES生效,有恢宏的ssh暴力破解的扫视信息,由于机械是测试环境,上边安装了ORACLE和squid,一时半刻管制了iptables,重启后iptables运维,应该未有再度被另行登入,不过系统中一些文件以及被改变

运用less
/var/log/messages命令二点结合last命令,推断二点重启后IPATABLES生效,有大气的ssh暴力破解的扫描新闻,由于机械是测试环境,上面安装了ORACLE和squid,临时管制了iptables,重启后iptables运维,应该未有再一次被再次登入,但是系统中有个别文件以及被修改

  [[email protected]
~]# /etc/rc.d/init.d/sshd restart

 

 

   Stopping sshd: [ OK ]

message文件中有些音信如下:

message文件中壹些新闻如下:

Starting sshd: [ OK ]:

103.207.37.86

103.207.37.86

 

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

3、查看sshd状态:

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

   #service sshd status

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

 

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

肆、将端口22(也许自定义的别的端口)加到防火墙的安装中,标志为Accept

103.207.37.86 port 58311 ssh2

103.207.37.86 port 58311 ssh2

   #iptables -A INPUT -p tcp –dport 22 -j ACCEPT

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 

(这句很重大,不然外部连接不了。)

103.79.143.234

103.79.143.234

   也足以将上述参数参预防火墙配置中:

 

 

   #vi /etc/sysconfig/iptables

113.108.21.16

113.108.21.16

  加入:-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 

   保存后重启iptables就可以

103.79.143.234

103.79.143.234

端详能够查看 iptables的用法

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

 

rom 

rom 

二、Fedora15/16/17 启动sshd服务:

103.79.143.234 port 57019 ssh2

103.79.143.234 port 57019 ssh2

由于Fedora 15/16使用systemd服务,

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

一、运转SSH服务与地点有个别差别

 

 

# systemctl start sshd.service

竭泽而渔办法

化解措施

或者 #service sshd start

一.修改root用户密码

壹.修改root用户密码

也能够用 restart 和 stop调整sshd服务

贰.是因为sshd文件被修改,重新安装ssh,并设置唯有钦定内网IP能够访问

二.由于sshd文件被修改,重新安装ssh,并设置唯有钦赐内网IP能够访问

 

3.配置iptables,使iptables

3.配置iptables,使iptables

二、设置系统运营时展开服务

 

 

# systemctl enable sshd.service

重装SSHD

重装SSHD

 

一.rpm -qa | grep ssh查询已安装包

一.rpm -qa | grep ssh查询已安装包

三、一样也需张开防火墙2二端口

系统已安装包:

系统已安装包:

   #iptables -A INPUT -p tcp –dport 22 -j ACCEPT

openssh-clients,openssh-server,openssh,openssh-askpass

openssh-clients,openssh-server,openssh,openssh-askpass

   也能够将上述参数加入防火墙配置中:

删除那两个包,删除时centos提示包里面有依靠关系,根据提示从重视关系的最里层开头删除,

剔除这多少个包,删除时centos提醒包里面有依靠关系,依据指示从正视关系的最里层起始删除,

   #vi /etc/sysconfig/iptables

依据openssh-askpass openssh openssh-server
openssh-clients那些顺序删除就足以了。

遵守openssh-askpass openssh openssh-server
openssh-clients那些顺序删除就足以了。

   加入:-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j
ACCEPT

 

 

   保存后重启iptables就可以

2.安装

2.安装

 

使用yum逐一安装,yum install openssh-askpass **

使用yum逐1安装,yum install openssh-askpass **

1、Fedora 运维sshd服务:
一、先确认是或不是已安装ssh服务:
[[email protected]
~]# rpm -qa | grep openssh-server openssh-server-5.3p1-19.fc12.i686
(这…

安装openssh-server时提示:

安装openssh-server时提示:

unpacking of archive failed on file
/user/sbin/sshd cpio:rename

unpacking of archive failed on file
/user/sbin/sshd cpio:rename

删去文件提醒Operation not
permitted错误

剔除文件提示Operation not
permitted错误

查询文件的隐藏属性

查询文件的隐藏属性

lsattr /usr/sbin/sshd

lsattr /usr/sbin/sshd

-u—ia–e /usr/sbin/sshd

-u—ia–e /usr/sbin/sshd

i:设定文件无法被剔除、改名、设定链接关系,同时不可能写入或新增添内容。i参数对于文本
系统的白城设置有十分大协助。

i:设定文件无法被删除、改名、设定链接关系,同时无法写入或新扩充内容。i参数对于文本
系统的安全设置有十分的大协助。

a
即append,设定该参数后,只好向文件中添扩充少,而不可能去除,多用来服务器日志文件安全,唯有root才具设定这性格格

a
即append,设定该参数后,只好向文件中添增多少,而不可能去除,多用来服务器日志文件安全,只有root手艺设定这一个本性

应用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,裁撤相应设置之后剔除成功

运用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,打消相应设置之后剔除成功

`+ :在原有参数设定基础上,追加参数。

`+ :在原来参数设定基础上,追加参数。

  • :在原始参数设定基础上,移除参数`
  • :在原来参数设定基础上,移除参数`

再次yum install openssh-server
成功

再次yum install openssh-server
成功

 

 

三.布置ssh登入调控,设置管理IP,黑白名单

三.安排ssh登入调节,设置管理IP,黑白名单

vi /etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#修改端口号

#修改端口号

Port 52111

Port 52111

#只允许SSH二方式的连接

#只允许SSH贰格局的连天

Protocol 2

Protocol 2

#或是root用户登陆,因为前面会安装可记名IP,所以那里就可能了

#恐怕root用户登入,因为前边会安装可记名IP,所以那里就或许了

PermitRootLogin yes

PermitRootLogin yes

#不容许空密码

#不容许空密码

PermitEmptyPasswords no

PermitEmptyPasswords no

 

 

#遮掩来自具备的SSH连接请求

#遮掩来自全体的SSH连接请求

vi /etc/hosts.deny

vi /etc/hosts.deny

sshd: ALL

sshd: ALL

 

 

#允许来自内网钦命ip的SSH连接请求

#允许来自内网钦定ip的SSH连接请求

vi /etc/hosts.allow

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.0

sshd: 192.168.253.**

sshd: 192.168.253.**

 

 

配备对应iptables设置

铺排对应iptables设置

1.iptables陈设规则

1.iptables配置规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目的端口号] [-j动作]

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目的端口号] [-j动作]

此地须求配备的是filter表,filter表中有input,output,forward三条规则链,假若本机服务相比较多,规则相比较麻烦,相比便利的方式是写shell脚本之后重启ssh服务

此处必要布置的是filter表,filter表中有input,output,forward叁条规则链,假使本机服务比较多,规则相比较繁琐,相比较方便的章程是写shell脚本之后重启ssh服务

#限制SSH的连接IP

#限制SSH的连接IP

iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j ACCEPT

#SSH支持5211一是修改后SSH端口

#SSH帮助5211一是修改后SSH端口

iptables -A OUTPUT -p tcp –sport 52111 -j ACCEPT

iptables -A OUTPUT -p tcp –sport 52111 -j ACCEPT

 

 

那里只是针对SSH做了简单陈设,具体iptables的配备,详见iptables配置一文

此处只是指向SSH做了简便安插,具体iptables的安顿,详见iptables配置一文

布署后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后陈设生效。

布署后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后布署生效。

 

 

 

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图
Copyright @ 2010-2019 美高梅手机版4858 版权所有