Maison >Opération et maintenance >exploitation et maintenance Linux >Que faire après le piratage d'un serveur Linux
Scénario :
SSH du serveur centos n'est pas disponible au travail lundi et les applications telles que le Web et la base de données ne répondent pas. Heureusement, vnc peut être connecté
Utilisez la dernière commande pour interroger. Les informations de connexion avant la 2 ont été effacées et le fichier sshd a été modifié samedi soir. Le serveur a été redémarré à distance à 14 heures. le dimanche soir
root pts/1 :1.0 Lun 3 juillet 11:09 toujours connecté
root pts/1 :1.0 Lun 3 juillet 11 :08 - 11:09 (00:01 )
root pts/0 :0.0 Lun 3 juillet 10:54 toujours connecté
root tty1 :0 Lun 3 juillet 10:53 toujours connecté
reboot system boot 2.6.32-696.3.2 .e Lun 3 juillet 10:46 - 11:11 (00:25)
root pts/0 :0.0 Lun 3 juillet 10:42 - down (00:01)
root tty1 :0 Lun 3 juillet 10h40 - down (00:03)
reboot system boot 2.6.32-696.3.2.e Dim 2 juillet 02:31 - 10:44 (1+08:12)
reboot system boot 2.6.32-431.el6.x Dim 2 juillet 02:27 - 02:27 (00:00)
2 juillet 03 : 11h20 oracledb rsyslogd : [ origin software="rsyslogd" swVersion="5.8.10
" x-pid="1960" x-info="
"] rsyslogd a été HUPed
2 juillet 03:35:11 oracledb sshd[13864] : n'a pas reçu de chaîne d'identification de
Utilisez la commande less /var/log/messages 2 points combinés avec la dernière commande pour déterminer que IPATABLES prend effet après le redémarrage à 2 points, il y a beaucoup d'informations d'analyse ssh pour le cracking par force brute. Étant donné que la machine est un environnement de test, ORACLE et Squid y sont installés et iptables est temporairement géré. Après le redémarrage, iptables le démarre. ne doit pas être reconnecté, mais certains fichiers du système ont été modifiés
Certaines informations contenues dans le fichier de messages sont les suivantes :
103.207.37.86
2 juillet 03:35:12 oracledb sshd[13865] : erreur : mauvaise description première dans la ligne 186
2 juillet 03:35:12 oracledb sshd[13865] : erreur : mauvaise description prime dans la ligne 187
2 juillet 03:35:12 oracledb sshd[13865] : erreur : mauvaise description première dans la ligne 188
2 juillet 03:35:13 oracledb sshd[13865] : échec du mot de passe pour prise en charge des utilisateurs illégaux f
103.207.37.86 port 58311 ssh2
2 juillet 03:45:05 oracledb sshd[13887] : assistance aux utilisateurs illégaux de
103.79.143.234
113.108.21.16
2 juillet 05:10:37 oracledb sshd[14126] : assistance aux utilisateurs illégaux de
103.79.143.234
2 juillet 05:10 :37 oracledb sshd[14126] : Échec du mot de passe pour l'assistance aux utilisateurs illégaux de
à partir de
103.79.143.234 port 57019 ssh2
2 juillet 05:10:43 oracledb sshd[ 14128] : N'a pas reçu la chaîne d'identification de
解决方法
1.修改root用户密码
2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问
3.配置iptables,使iptables
重装SSHD
1.rpm -qa | grep ssh除时centos 提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,
按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。
2.安装
使用yum逐一安装,yum install openssh-askpass **
安装
openssh-server时提示:
le déballage de l'archive a échoué sur le fichier /user/sbin/sshd cpio:rename删除文件提示Opération non autorisée错误
查询文件的隐藏属性
lsattr /usr/sbin/sshd
-u---ia--e /usr/sbin/sshd i : Les fichiers de paramètres ne peuvent pas être supprimés, renommés ou liés en même temps. Impossible d'écrire ou d'ajouter du contenu. Le paramètre i est très utile pour les paramètres de sécurité du système de fichiers. a signifie ajouter. Après avoir défini ce paramètre, vous pouvez uniquement ajouter des données au fichier, mais vous ne pouvez pas les supprimer. Il est principalement utilisé pour la sécurité du fichier journal du serveur. Seul root peut définir cela. attribut Utilisez chattr -ia /usr/sbin/sshd pour modifier les attributs cachés du fichier Après avoir annulé les paramètres correspondants, la suppression est réussie yum installe à nouveau openssh-server avec succès 3. Configurez le contrôle de connexion ssh, définissez l'adresse IP de gestion, la liste noire et blanche ssh/sshd_config #SSH support 52111 est le port SSH modifié iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT Ceci est juste une configuration simple pour SSH, spécifiquement iptables pour configuration, veuillez consulter l'article Configuration iptables pour plus de détails Après la configuration, /etc/rc.d/init.d/iptables save est enregistré. Utilisez le redémarrage du service iptables pour redémarrer le service et la configuration prendra effet. + :在原有参数设定基础上,追加参数。
- :在原有参数设定基础上,移除参数
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!