一次linux服务器被黑客入侵后的处理

场景：

周一上班centos服务器ssh不可用，web和数据库等应用不响应。好在vnc可以登录

使用last命令查询，2号之前的登录信息已被清空，并且sshd文件在周六晚上被修改，周日晚上2点服务器被人远程重启

使用less /var/log/messages命令2点结合last命令，判断2点重启后IPATABLES生效，有大量的ssh暴力破解的扫描信息，由于机器是测试环境，上面安装了ORACLE和squid，临时管理了iptables，重启后iptables启动，应该没有再次被再次登录，但是系统中部分文件以及被修改

message文件中部分信息如下：

解决方法

1.修改root用户密码

2.由于sshd文件被修改，重新安装ssh，并设置只有指定内网IP可以访问

3.配置iptables，使iptables

重装SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包：

openssh-clients，openssh-server，openssh，openssh-askpass

删除这四个包，删除时centos提示包之间有依赖关系，按照提示从依赖关系的最里层开始删除，

按照openssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.安装

使用yum逐一安装，yum install openssh-askpass **

安装openssh-server时提示：

删除文件提示Operation not permitted错误

查询文件的隐藏属性

i:设定文件不能被删除、改名、设定链接关系，同时不能写入或新增内容。i参数对于文件 系统的安全设置有很大帮助。

a 即append，设定该参数后，只能向文件中添加数据，而不能删除，多用于服务器日志文件安全，只有root才能设定这个属性

使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性，取消对应设置之后删除成功

+ ：在原有参数设定基础上，追加参数。 - ：在原有参数设定基础上，移除参数

再次yum install openssh-server 成功

3.配置ssh登录控制，设置管理IP，黑白名单

配置对应iptables设置

1.iptables配置规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议] [-s源IP] [-d目标ip] [--dport目标端口号] [-j动作]

这里需要配置的是filter表，filter表中有input，output，forward三条规则链，如果本机服务比较多，规则比较繁琐，比较便捷的方法是写shell脚本之后重启ssh服务

这里只是针对SSH做了简单配置，具体iptables的配置，详见iptables配置一文。

配置后/etc/rc.d/init.d/iptables save保存，使用service iptables restart重启服务后配置生效。

作者：lodestar 来源：http://www.cnblogs.com/lodestar/p/7155820.html