一次linux服务器被黑客入侵后的处理

场景:

周一上班centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录

使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启

使用less /var/log/messages命令2点结合last命令,判断2点重启后IPATABLES生效,有大量的ssh暴力破解的扫描信息,由于机器是测试环境,上面安装了ORACLE和squid,临时管理了iptables,重启后iptables启动,应该没有再次被再次登录,但是系统中部分文件以及被修改

message文件中部分信息如下:

解决方法

1.修改root用户密码

2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问

3.配置iptables,使iptables

重装SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包:

openssh-clients,openssh-server,openssh,openssh-askpass

删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.安装

使用yum逐一安装,yum install openssh-askpass **

安装openssh-server时提示:

删除文件提示Operation not permitted错误

查询文件的隐藏属性

i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性

使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功

+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数

再次yum install openssh-server 成功

3.配置ssh登录控制,设置管理IP,黑白名单

配置对应iptables设置

1.iptables配置规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议] [-s源IP] [-d目标ip] [--dport目标端口号] [-j动作]

这里需要配置的是filter表,filter表中有input,output,forward三条规则链,如果本机服务比较多,规则比较繁琐,比较便捷的方法是写shell脚本之后重启ssh服务

这里只是针对SSH做了简单配置,具体iptables的配置,详见iptables配置一文。

配置后/etc/rc.d/init.d/iptables save保存,使用service iptables restart重启服务后配置生效。

作者:lodestar 来源:http://www.cnblogs.com/lodestar/p/7155820.html


原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2017-07-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏LIN_ZONE

ubuntu16.04中supervisor安装与简单使用(转载)

supervisor 可以将每个进程分别写成一个文件,supervisor 的进程文件放在 /etc/supervisor/conf.d/ 目录下,本例创建 t...

11840
来自专栏技术博文

git常用命令

克隆分支(ssh方式) git clone git@xxx:branch.git#xxx代表服务器 设置全局的用户名和邮箱 git config --globa...

28780
来自专栏13blog.site

Spring+SpringMVC+MyBatis+easyUI整合基础篇(十一)SVN服务器进阶

前言 上一篇文章《Spring+SpringMVC+MyBatis+easyUI整合基础篇(十)SVN搭建》简单的讲了一下SVN服务器的搭建,并没有详细的介绍配...

329100
来自专栏Python爬虫与数据挖掘

在Ubuntu14.04中安装Py3和切换Py2和Py3环境

前几天小编给大家分享了如何安装Ubuntu14.04系统,感兴趣的小伙伴可以戳这篇文章:手把手教你在VMware虚拟机中安装Ubuntu14.04系统。今天小...

7820
来自专栏性能与架构

如何高效查看 Docker 日志

开发基于 Docker 的应用时,用好 log 可以大大提高排错效率,下面就是几个常用的 log 操作技巧:

6.1K50
来自专栏云计算教程系列

如何在CentOS 7上将ngx_pagespeed添加到Nginx

ngx_pagespeed,或者pagespeed,是一个Nginx模块,旨在通过精简资源的规模来缩短客户端浏览器加载它所需的时间,从而自动优化您的网站。如果您...

23400
来自专栏雨过天晴

原 荐 IntelliJ IDEA系列编辑器

40930
来自专栏Java帮帮-微信公众号-技术文章全总结

Hadoop,zookeeper,HBase,Spack集群环境搭建【面试+工作】

Hadoop,zookeeper,HBase,Spark集群环境搭建【面试+工作】

28020
来自专栏web编程技术分享

【php增删改查实例】第二十五节 - 在main.php中显示头像

20930
来自专栏云计算教程系列

如何在Ubuntu 14.04上安装Linux,Nginx,MySQL,以及PHP(LNMP)堆栈

LNMP软件堆栈是一组可用于为动态网页和Web应用程序提供服务的软件。这是一个描述Linux操作系统的首字母缩写词,带有Nginx Web服务器。后端数据存储在...

19040

扫码关注云+社区

领取腾讯云代金券