Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >Was tun, nachdem ein Linux-Server gehackt wurde?

Was tun, nachdem ein Linux-Server gehackt wurde?

巴扎黑
巴扎黑Original
2018-05-24 09:44:174030Durchsuche

Szenario:

SSH des Centos-Servers ist am Montag bei der Arbeit nicht verfügbar und Anwendungen wie Web und Datenbank reagieren nicht. Glücklicherweise kann vnc angemeldet werden

Verwenden Sie den letzten Befehl zur Abfrage. Die Anmeldeinformationen wurden gelöscht und die SSHD-Datei wurde am Samstagabend um 2 Uhr aus der Ferne neu gestartet am Sonntagabend

Wurzelpunkte/1 :1,0 Mo 3. Juli 11:09 noch eingeloggt

Wurzelpunkte/1 :1,0 Mo 3. Juli 11 :08 - 11:09 (00:01 )

root pts/0 :0.0 Mo 3. Juli 10:54 immer noch angemeldet

root tty1 :0 Mo 3. Juli 10:53 immer noch angemeldet

Systemstart neu starten 2.6.32-696.3.2 .e Mo. 3. Juli 10:46 - 11:11 (00:25)

root pts/0 :0.0 Mo. 3. Juli 10:42 - down (00:01)

root tty1 :0 Mo, 3. Juli 10:40 - down (00:03)

reboot system boot 2.6.32-696.3.2.e So, 2. Juli 02:31 - 10:44 (1+08:12)

Systemstart 2.6.32-431.el6.x neu starten So 2. Juli 02:27 - 02:27 (00:00)

2. Juli 03: 11:20 oracledb rsyslogd: [ origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

"] rsyslogd wurde HUPed

2. Juli 03:35:11 oracledb sshd[13864]: Keine Identifikationszeichenfolge erhalten von

Verwenden Sie weniger /var/log/messages Befehl 2 Punkte kombiniert mit dem letzten Befehl, um festzustellen, dass IPATABLES tritt nach dem Neustart in Kraft, es gibt viele SSH-Scan-Informationen für Brute-Force-Cracking. Da es sich bei der Maschine um eine Testumgebung handelt, werden ORACLE und Squid darauf installiert und iptables wird vorübergehend verwaltet sollte nicht erneut angemeldet werden, aber einige Dateien im System wurden geändert

Einige der Informationen in der Nachrichtendatei lauten wie folgt:

103.207.37.86

2. Jul  03:35:12 oracledb sshd[13865]: Fehler: Ungültige Primzahlbeschreibung in Zeile 186

2.Jul. 03:35:12 oracledb sshd[13865]: Fehler: Ungültige Primzahlbeschreibung in Zeile 187

2. Jul  03:35:12 oracledb sshd[13865]: Fehler: Ungültige Prime-Beschreibung in Zeile 188

2. Jul. 03:35:13 oracledb sshd[13865]: Fehlerhaftes Passwort für illegaler Nutzersupport

113.108.21.16

2. Juli 05:10:37 oracledb sshd[14126]: Ungültiger Benutzersupport von

103.79.143.234

2. Juli 05:10 :37 oracledb sshd[14126]: Fehlgeschlagenes Passwort für illegalen Benutzersupport von

103.79.143.234 Port 57019 ssh2

2. Juli 05:10:43 oracledb sshd[ 14128]: Keine Identifikationszeichenfolge erhalten von

解决方法

1.修改root用户密码

2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问

3.配置iptables,使iptables

重装SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包:

openssh-clients,openssh-server,openssh,openssh-askpass

删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了.

2.安装

使用yum逐一安装,yum install openssh-askpass **

安装

openssh-server

时提示:

Das Entpacken des Archivs ist in der Datei /user/sbin/sshd cpio:rename fehlgeschlagen属性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i: Einstellungsdateien können nicht gleichzeitig gelöscht, umbenannt oder verknüpft werden Es können keine Inhalte geschrieben oder hinzugefügt werden. Der i-Parameter ist sehr hilfreich für die Sicherheitseinstellungen des Dateisystems.

a bedeutet Anhängen. Nach dem Festlegen dieses Parameters können Sie der Datei nur Daten hinzufügen, diese jedoch nicht löschen. Dies wird hauptsächlich für die Sicherheit der Serverprotokolldatei verwendet Attribut

Verwenden Sie chattr -ia /usr/sbin/sshd, um die ausgeblendeten Attribute der Datei zu ändern. Nach dem Abbrechen der entsprechenden Einstellungen ist der Löschvorgang erfolgreich

+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数

yum install openssh-server erneut erfolgreich

3. SSH-Anmeldesteuerung konfigurieren, Verwaltungs-IP festlegen, Black- und Whitelist

vi /etc/ssh/sshd_config

# Ändern Sie die Portnummer

Port 52111

#Nur SSH2-Verbindungen zulassen

Protokoll 2

# Root-Benutzeranmeldung zulassen, da diese so eingestellt wird, dass eine spätere IP-Anmeldung möglich ist. Daher ist sie hier zulässig

PermitRootLogin ja

# Leere Passwörter sind nicht zulässig

PermitEmptyPasswords no

#Alle SSH-Verbindungsanfragen blockieren

vi /etc/hosts.deny

sshd: ALL

#SSH-Verbindungsanfragen von den angegebenen zulassen IP im Intranet

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.253.**

Entsprechend konfigurieren iptables-Einstellungen

1.iptables-Konfigurationsregeln

iptables [-t Tabellenname] [-A|I|D|R Kettenname] [-i Netzwerkkartenname] [-p Protokoll] [-s Quell-IP] [-d Ziel-IP] [--dport Ziel-Port-Nr.] [-j Aktion]

Was hier konfiguriert werden muss, ist die Filtertabelle. Es gibt drei Regelketten in der Filtertabelle: Eingabe, Ausgabe und Weiterleitung. Wenn es viele lokale Dienste gibt und die Regeln kompliziert sind, ist die bequemere Methode: Starten Sie den SSH-Dienst neu, nachdem Sie das Shell-Skript geschrieben haben

# SSH-Verbindungs-IP einschränken

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT

#SSH-Unterstützung 52111 ist der geänderte SSH-Port

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

Dies ist nur eine einfache Konfiguration für SSH, insbesondere für iptables Einzelheiten zur Konfiguration finden Sie im Artikel iptables-Konfiguration

Nach der Konfiguration wird /etc/rc.d/init.d/iptables save gespeichert. Verwenden Sie den Dienst iptables restart, um den Dienst neu zu starten, und die Konfiguration wird wirksam.

Das obige ist der detaillierte Inhalt vonWas tun, nachdem ein Linux-Server gehackt wurde?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn