Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Was tun, nachdem ein Linux-Server gehackt wurde?
Szenario:
SSH des Centos-Servers ist am Montag bei der Arbeit nicht verfügbar und Anwendungen wie Web und Datenbank reagieren nicht. Glücklicherweise kann vnc angemeldet werden
Verwenden Sie den letzten Befehl zur Abfrage. Die Anmeldeinformationen wurden gelöscht und die SSHD-Datei wurde am Samstagabend um 2 Uhr aus der Ferne neu gestartet am Sonntagabend
Wurzelpunkte/1 :1,0 Mo 3. Juli 11:09 noch eingeloggt
Wurzelpunkte/1 :1,0 Mo 3. Juli 11 :08 - 11:09 (00:01 )
root pts/0 :0.0 Mo 3. Juli 10:54 immer noch angemeldet
root tty1 :0 Mo 3. Juli 10:53 immer noch angemeldet
Systemstart neu starten 2.6.32-696.3.2 .e Mo. 3. Juli 10:46 - 11:11 (00:25)
root pts/0 :0.0 Mo. 3. Juli 10:42 - down (00:01)
root tty1 :0 Mo, 3. Juli 10:40 - down (00:03)
reboot system boot 2.6.32-696.3.2.e So, 2. Juli 02:31 - 10:44 (1+08:12)
Systemstart 2.6.32-431.el6.x neu starten So 2. Juli 02:27 - 02:27 (00:00)
2. Juli 03: 11:20 oracledb rsyslogd: [ origin software="rsyslogd" swVersion="5.8.10
" x-pid="1960" x-info="
"] rsyslogd wurde HUPed
2. Juli 03:35:11 oracledb sshd[13864]: Keine Identifikationszeichenfolge erhalten von
Verwenden Sie weniger /var/log/messages Befehl 2 Punkte kombiniert mit dem letzten Befehl, um festzustellen, dass IPATABLES tritt nach dem Neustart in Kraft, es gibt viele SSH-Scan-Informationen für Brute-Force-Cracking. Da es sich bei der Maschine um eine Testumgebung handelt, werden ORACLE und Squid darauf installiert und iptables wird vorübergehend verwaltet sollte nicht erneut angemeldet werden, aber einige Dateien im System wurden geändert
Einige der Informationen in der Nachrichtendatei lauten wie folgt:
103.207.37.86
2. Jul 03:35:12 oracledb sshd[13865]: Fehler: Ungültige Primzahlbeschreibung in Zeile 186
2.Jul. 03:35:12 oracledb sshd[13865]: Fehler: Ungültige Primzahlbeschreibung in Zeile 187
2. Jul 03:35:12 oracledb sshd[13865]: Fehler: Ungültige Prime-Beschreibung in Zeile 188
2. Jul. 03:35:13 oracledb sshd[13865]: Fehlerhaftes Passwort für illegaler Nutzersupport
113.108.21.16
2. Juli 05:10:37 oracledb sshd[14126]: Ungültiger Benutzersupport von
103.79.143.234
2. Juli 05:10 :37 oracledb sshd[14126]: Fehlgeschlagenes Passwort für illegalen Benutzersupport von
103.79.143.234 Port 57019 ssh2
2. Juli 05:10:43 oracledb sshd[ 14128]: Keine Identifikationszeichenfolge erhalten von
解决方法
1.修改root用户密码
2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问
3.配置iptables,使iptables
重装SSHD
1.rpm -qa | grep ssh查询已安装包
系统已安装包:
openssh-clients,openssh-server,openssh,openssh-askpass
删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,
按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了.
2.安装
使用yum逐一安装,yum install openssh-askpass **
安装
openssh-server时提示:
Das Entpacken des Archivs ist in der Datei /user/sbin/sshd cpio:rename fehlgeschlagen属性lsattr /usr/sbin/sshd
-u---ia--e /usr/sbin/sshd
i: Einstellungsdateien können nicht gleichzeitig gelöscht, umbenannt oder verknüpft werden Es können keine Inhalte geschrieben oder hinzugefügt werden. Der i-Parameter ist sehr hilfreich für die Sicherheitseinstellungen des Dateisystems.
a bedeutet Anhängen. Nach dem Festlegen dieses Parameters können Sie der Datei nur Daten hinzufügen, diese jedoch nicht löschen. Dies wird hauptsächlich für die Sicherheit der Serverprotokolldatei verwendet Attribut
Verwenden Sie chattr -ia /usr/sbin/sshd, um die ausgeblendeten Attribute der Datei zu ändern. Nach dem Abbrechen der entsprechenden Einstellungen ist der Löschvorgang erfolgreich
+ :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数
yum install openssh-server erneut erfolgreich
3. SSH-Anmeldesteuerung konfigurieren, Verwaltungs-IP festlegen, Black- und Whitelist
vi /etc/ssh/sshd_config
# Ändern Sie die Portnummer
Port 52111
#Nur SSH2-Verbindungen zulassen
Protokoll 2
# Root-Benutzeranmeldung zulassen, da diese so eingestellt wird, dass eine spätere IP-Anmeldung möglich ist. Daher ist sie hier zulässig
PermitRootLogin ja
# Leere Passwörter sind nicht zulässig
PermitEmptyPasswords no
#Alle SSH-Verbindungsanfragen blockieren
vi /etc/hosts.deny
sshd: ALL
#SSH-Verbindungsanfragen von den angegebenen zulassen IP im Intranet
vi /etc/hosts.allow
sshd: 192.168.0
sshd: 192.168.253.**
Entsprechend konfigurieren iptables-Einstellungen
1.iptables-Konfigurationsregeln
iptables [-t Tabellenname] [-A|I|D|R Kettenname] [-i Netzwerkkartenname] [-p Protokoll] [-s Quell-IP] [-d Ziel-IP] [--dport Ziel-Port-Nr.] [-j Aktion]
Was hier konfiguriert werden muss, ist die Filtertabelle. Es gibt drei Regelketten in der Filtertabelle: Eingabe, Ausgabe und Weiterleitung. Wenn es viele lokale Dienste gibt und die Regeln kompliziert sind, ist die bequemere Methode: Starten Sie den SSH-Dienst neu, nachdem Sie das Shell-Skript geschrieben haben
# SSH-Verbindungs-IP einschränken
iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT
#SSH-Unterstützung 52111 ist der geänderte SSH-Port
iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT
Dies ist nur eine einfache Konfiguration für SSH, insbesondere für iptables Einzelheiten zur Konfiguration finden Sie im Artikel iptables-Konfiguration
Nach der Konfiguration wird /etc/rc.d/init.d/iptables save gespeichert. Verwenden Sie den Dienst iptables restart, um den Dienst neu zu starten, und die Konfiguration wird wirksam.
Das obige ist der detaillierte Inhalt vonWas tun, nachdem ein Linux-Server gehackt wurde?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!