ホームページ >運用・保守 >Linuxの運用と保守 >Linuxサーバーがハッキングされた後にすべきこと
シナリオ:
月曜日の職場では Centos サーバーの SSH が利用できず、Web やデータベースなどのアプリケーションが応答しません。幸いなことに、vnc にはログインできます
最後のコマンドを使用してクエリを実行すると、2 つ目以前のログイン情報がクリアされ、sshd ファイルは土曜日の夜に変更され、日曜日の夜 2 時にサーバーがリモートで再起動されました。
root pts/1 :1.0 Mon Jul 3 11:09 まだログインしています root pts/1 :1.0 Mon Jul 3 11:08 - 11:09 (00:01) root pts/0 :0.0 Mon Jul 3 10:54 まだログインしていますroot tty1 :0 (00:25) root pts/0 : 0.0 Mon Jul 3 10:42 - down (00:01) root tty1 :0 Mon Jul 3 10:40 - ダウン (00:03) システム ブート 2.6.32-696.3.2.e を再起動 7 月 2 日日曜日 02:31 - 10:44 (1+08:12) システム ブート 2.6.32-431.el6 を再起動.x Sun Jul 2 02:27 - 02:27 (00:00) Jul 2 03:11 :20 oracledb rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid=" 1960" x-info=""] rsyslogd が HUP されましたJul 2 03:35:11 oracledb sshd[13864]: 識別文字列を受信しませんでした 2 つのポイントでless /var/log/messages コマンドを使用してください最後のコマンドと組み合わせて、2 つのポイントで再起動した後に IPATABLES が有効になることを確認します。マシンはテスト環境であり、ORACLE と Squid がインストールされており、iptables が一時的に存在するため、大量の ssh ブルート フォース スキャン情報があります。再起動後、iptables が開始されます。再度ログインする必要はありませんが、システム内の一部のファイルとメッセージ ファイル内の一部の情報が次のように変更されています。
Jul 2 03:35:12 oracledb sshd[13865]: エラー: 186行目のプライムの説明が間違っています
Jul 2 03:35:12 oracledb sshd[13865]: エラー: 187行目のプライムの説明が間違っています
7月 2 03 :35:12 oracledb sshd[13865]: エラー: 188行目のプライムの説明が間違っています
7月 2 03:35:13 oracledb sshd[13865]: 違法なユーザー サポート f
103.207.37.86のパスワードが失敗しましたポート 58311 ssh2
7 月 2 03:45:05 oracledb sshd[13887]:
103.79.143.234
113.108.21.16
7 月 2 05:10:37 oracledb sshd[14126] からの違法なユーザー サポート
103.79 からの違法なユーザー サポート。 143.234
Jul 2 05:10:37 oracledb sshd[14126]: 不正なユーザー サポート f
rom
103.79.143.234 ポート 57019 ssh2
Jul のパスワードに失敗しました2 05:10:43 oracledb sshd[14128]: しました
から識別文字列を受け取らない
解法
1.root用户密コードを修正
2.sshdファイルが修正されているため、sshを再インストールし、指定された内部ネットワークIPが許可されているだけです
3.iptablesを構成する、iptablesを使用します
SSHD重装
1.rpm -qa | grep ssh查询すでに実装包
系统已実装包:
openssh-clients、openssh-server、openssh、openssh-askpass
删除四包、删除時centos提案包之间有依赖关系、按照示唆从
2. インストール
yum を使用して徐々にインストールし、yum install openssh-askpass **インストールopenssh-server時のヒント: ファイル/user/sbin/sshd cpio:rename
删除文件の警告
アーカイブの解凍に失敗しました。操作は許可されていません。
lsattr /usr/sbin/sshd
-u---ia--e /usr/sbin/sshd
i: 設定ファイルの削除、名前変更、リンク関係の設定、コンテンツの書き込みや追加はできません。 i パラメータは、ファイル システムのセキュリティ設定に非常に役立ちます。
a は追加です。このパラメータを設定した後は、ファイルにデータを追加することのみできますが、これは主にサーバーのログ ファイルのセキュリティに使用されます。
この属性を設定できるのは。 -ia / usr/sbin/sshd ファイルの非表示属性を変更し、対応する設定をキャンセルした後、正常に削除します
+: 元のパラメータ設定に基づいてパラメータを追加します。
-: 元のパラメータ設定に基づいて、パラメータ
を削除し、openssh-server を再度正常にインストールします
3. SSH ログイン制御を設定し、管理 IP、ブラックとホワイト リストを設定します
vi /etc /ssh/sshd_config
#ポート番号を変更しますPort 52111#SSH2接続のみを許可しますプロトコル2#ログインIPは後で設定されるため、rootユーザーのログインを許可しますここではAllowedですPermitRootLogin yes#空のパスワードを許可しませんPermitEmptyPasswords no#からのSSH接続リクエストをすべてブロックしますvi /etc/hosts.denysshd: ALL#からの指定されたIPを許可しますイントラネット SSH 接続リクエスト vi /etc/hosts.allowsshd: 192.168.0sshd: 192.168.253.** iptables 設定に対応する設定1.iptables 設定ルールiptables [- t テーブル名] [-A|I|D|R チェーン名] [-i ネットワークカード名] [-p プロトコル] [-s ソース IP] [-d ターゲット IP] [--dport ターゲット ポート番号] [- j アクション] ここで設定する必要があるのはフィルター テーブルです。フィルター テーブルには入力、出力、転送の 3 つのルール チェーンがあります。ローカル サービスが多く、ルールが複雑な場合は、次の方法が便利です。シェルスクリプトを書いて、sshサービスを再起動します#制限事項 SSH接続 IPiptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -s 192.168.101.35 - p tcp --dport 22 -j ACCEPT#SSH support 52111 は、変更された SSH ポートです
iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT
これは、SSH の単なる単純な構成です。詳細については、iptables 構成の記事を参照してください。
設定 /etc/rc.d/init.d/iptables を保存した後、service iptables restart を使用してサービスを再起動すると、設定が有効になります。
以上がLinuxサーバーがハッキングされた後にすべきことの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。