场景:

 场景:

一次linux服务器黑客入侵后甩卖,linux后甩卖

 场景:
周一上班centos服务器ssh不可用,web和数据库等利用不响应。万幸vnc可以登录使用last命令查询,二号从前的记名消息已被清空,并且sshd文件在周日夜间被涂改,周四夜间二点服务器被人远程重启
root     pts/1        :1.0             Mon Jul  三 1一:0玖   still logged in   
root     pts/一        :壹.0             Mon Jul  3 1一:08 – 1一:0玖  (00:0壹)    
root     pts/0        :0.0             Mon Jul  三 10:5四   still logged in   
root     tty壹         :0               Mon Jul  3 10:五3   still logged in   
reboot   system boot  2.六.3二-6九陆.3.二.e Mon Jul  三 十:4陆 – 1壹:11  (00:二伍)    
root     pts/0        :0.0             Mon Jul  3 10:4贰 – down   (00:0壹)    
root     tty一         :0               Mon Jul  3 十:40 – down   (00:0三)    
reboot   system boot  二.陆.32-696.三.二.e Sun Jul  贰 0贰:31 – 10:44 (一+0捌:1二)   
reboot   system boot  贰.6.32-43一.el6.x Sun Jul  二 02:2柒 – 0二:27  (00:00) 
Jul  二 03:1一:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10
” x-pid=”1960″ x-info=” ] rsyslogd was HUPed
Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from
  使用less
/var/log/messages命令二点结合last命令,决断2点重启后IPATABLES生效,有恢宏的ssh暴力破解的围观新闻,由于机械是测试蒙受,上面安装了ORACLE和squid,一时半刻管制了iptables,重启后iptables运行,应该未有再度被重新登6,可是系统中一些文件以及被改换  message文件中部分消息如下: 10叁.20七.三7.八陆Jul  二 0三:3伍:1二 oracledb sshd[13865]: error: Bad prime description in line 186
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188
Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f
103.207.37.86 port 58311 ssh2
Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 
103.79.143.234   113.108.21.16
Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 
103.79.143.234
Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f
rom  103.79.143.234 port 57019 ssh2
Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from
  消除办法 一.修改root用户密码
2.由于sshd文件被修改,重新安装ssh,并设置只有钦点内网IP能够访问
三.安插iptables,使iptables   重装SSHD 一.rpm -qa | grep ssh查询已设置包
系统已安装包: openssh-clients,openssh-server,openssh,openssh-askpass
删除这多个包,删除时centos提示包里面有依附关系,根据提示从重视关系的最里层起初删除,
依照openssh-askpass openssh openssh-server
openssh-clients那几个顺序删除就足以了。   2.安装 使用yum逐1安装,yum
install openssh-askpass ** 安装openssh-server时提示: unpacking of
archive failed on file /user/sbin/sshd cpio:rename 删除文件提示Operation
not permitted错误 查询文件的隐藏属性 lsattr /usr/sbin/sshd -u—ia–e
/usr/sbin/sshd
i:设定文件不能够被删除、改名、设定链接关系,同时不能够写入或新扩大内容。i参数对于文本
系统的平安设置有不小扶持。 a
即append,设定该参数后,只好向文件中添增加少,而不能够去除,多用来服务器日志文件安全,唯有root手艺设定这么些属性
使用 chattr -ia
/usr/sbin/sshd修改文件的隐藏属性,打消相应设置之后剔除成功
+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数
再一次yum install openssh-server 成功  
叁.配置ssh登6调整,设置处理IP,黑白名单 vi /etc/ssh/sshd_config
#修改端口号 Port 5211一 #只允许SSH贰方式的接连 Protocol 二
#想必root用户登6,因为背后会安装可记名IP,所以那里就恐怕了
PermitRootLogin yes #不容许空密码 PermitEmptyPasswords no  
#遮掩来自具有的SSH连接请求 vi /etc/hosts.deny sshd: ALL  
#允许来自内网钦命ip的SSH连接请求 vi /etc/hosts.allow sshd: 1九2.168.0
sshd: 1九2.168.253.**   配置对应iptables设置 一.iptables安插规则
iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目标端口号] [-j动作]
那里供给安排的是filter表,filter表中有input,output,forward三条规则链,假诺本机服务比较多,规则相比繁琐,相比方便的方式是写shell脚本之后重启ssh服务
#限制SSH的连接IP iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22
-j ACCEPT iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j
ACCEPT
#SSH援救5211一是修改后SSH端口 iptables -A OUTPUT -p tcp –sport 5211一 -j
ACCEPT  
那里只是本着SSH做了简要布置,具体iptables的安排,详见iptables配置一文
配置后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后布置生效。    

场景:周1上班centos服务器ssh不可用,web和数据库等采取不响应。幸亏vnc可以登入使用last命令…

fedora18安装ssh

星期1上班centos服务器ssh不可用,web和数据库等选择不响应。辛亏vnc能够登陆

星期1上班centos服务器ssh不可用,web和数据库等利用不响应。万幸vnc能够登6

 

使用last命令查询,贰号从前的报到音信已被清空,并且sshd文件在星期四晚间被退换,周五夜间2点服务器被人远程重启

动用last命令查询,二号以前的报到新闻已被清空,并且sshd文件在周6中午被改造,星期日夜晚2点服务器被人远程重启

一、Fedora 启动sshd服务:

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   

root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   

一、先认可是不是已安装ssh服务:

root     pts/1        :1.0             Mon Jul  3 11:08 – 11:09  (00:01)    

root     pts/1        :1.0             Mon Jul  3 11:08 – 11:09  (00:01)    

 
[[email protected]
~]# rpm -qa | grep openssh-server

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   

root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   

 openssh-server-伍.三p一-1玖.fc1二.i6八陆 (那行表示已设置)

root     tty1         :0               Mon Jul  3 10:53   still logged in   

root     tty1         :0               Mon Jul  3 10:53   still logged in   

  若未设置ssh服务,可输入:

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 – 11:11  (00:25)    

reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 – 11:11  (00:25)    

  #yum install openssh-server 

root     pts/0        :0.0             Mon Jul  3 10:42 – down   (00:01)    

root     pts/0        :0.0             Mon Jul  3 10:42 – down   (00:01)    

  实行设置

root     tty1         :0               Mon Jul  3 10:40 – down   (00:03)    

root     tty1         :0               Mon Jul  3 10:40 – down   (00:03)    

 

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 – 10:44 (1+08:12)   

reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 – 10:44 (1+08:12)   

一次linux服务器黑客入侵后甩卖。二、修改配置文件

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 – 02:27  (00:00) 

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 – 02:27  (00:00) 

   #vi /etc/ssh/sshd_config

Jul  2 03:11:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10

Jul  2 03:11:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10

   #Port 2二  监听的端口号,私下认可是22,能够自定义。

” x-pid=”1960″ x-info=”

” x-pid=”1960″ x-info=”

  #Protocol 2  帮助的切磋,私下认可就好,不用修改

] rsyslogd was HUPed

] rsyslogd was HUPed

  #PermitRootLogin yes 是还是不是同意root直接登陆,最棒设置为no

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

    #M马克斯AuthTries 陆最大登六数,暗中认可是6,提议设置为叁,制止旁人密码穷举。

 

 

   修改完配置后,重启SSH服务:

应用less
/var/log/messages命令二点结合last命令,判定2点重启后IPATABLES生效,有雅量的ssh暴力破解的扫描音讯,由于机械是测试情形,下边安装了ORACLE和squid,一时半刻管制了iptables,重启后iptables运行,应该未有重新被再次登6,然则系统中有个别文件以及被修改

选拔less
/var/log/messages命令二点结合last命令,决断2点重启后IPATABLES生效,有多量的ssh暴力破解的围观消息,由于机械是测试境况,上边安装了ORACLE和squid,一时半刻管制了iptables,重启后iptables运行,应该未有重新被再一次登陆,然而系统中部分文件以及被涂改

  [[email protected]
~]# /etc/rc.d/init.d/sshd restart

 

 

   Stopping sshd: [ OK ]

message文件中部分音信如下:

message文件中有的信息如下:

Starting sshd: [ OK ]:

103.207.37.86

103.207.37.86

 

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

3、查看sshd状态:

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187

   #service sshd status

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188

 

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f

四、将端口2二(恐怕自定义的别的端口)加到防火墙的设置中,标志为Accept

103.207.37.86 port 58311 ssh2

103.207.37.86 port 58311 ssh2

   #iptables -A INPUT -p tcp –dport 22 -j ACCEPT

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 

Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 

(那句很重视,不然外部连接不了。)

103.79.143.234

103.79.143.234

   也得以将上述参数参防卫火墙配置中:

 

 

   #vi /etc/sysconfig/iptables

113.108.21.16

113.108.21.16

  加入:-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 

Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 

   保存后重启iptables就能够

103.79.143.234

103.79.143.234

端详能够查看 iptables的用法

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f

 

rom 

rom 

二、Fedora15/16/17 启动sshd服务:

103.79.143.234 port 57019 ssh2

103.79.143.234 port 57019 ssh2

由于Fedora 15/16使用systemd服务,

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from

一、运营SSH服务与地点有些分歧

 

 

# systemctl start sshd.service

消除方法

斩草除根办法

或者 #service sshd start

一.改变root用户密码

一.改变root用户密码

也足以用 restart 和 stop调控sshd服务

二.出于sshd文件被涂改,重新安装ssh,并安装只有钦命内网IP能够访问

二.是因为sshd文件被涂改,重新安装ssh,并安装唯有钦命内网IP能够访问

 

3.配置iptables,使iptables

3.配置iptables,使iptables

二、设置系统运转时展开服务

 

 

# systemctl enable sshd.service

重装SSHD

重装SSHD

 

壹.rpm -qa | grep ssh查询已安装包

1.rpm -qa | grep ssh查询已安装包

三、一样也需展开防火墙2二端口

系统已安装包:

系统已安装包:

   #iptables -A INPUT -p tcp –dport 22 -j ACCEPT

openssh-clients,openssh-server,openssh,openssh-askpass

openssh-clients,openssh-server,openssh,openssh-askpass

   也得以将上述参数加入防火墙配置中:

除去那多个包,删除时centos提醒包里面有凭仗关系,根据提示从依赖关系的最里层开端删除,

除去那四个包,删除时centos提醒包里面有依赖关系,遵照提示从依赖关系的最里层开头删除,

   #vi /etc/sysconfig/iptables

根据openssh-askpass openssh openssh-server
openssh-clients这么些顺序删除就足以了。

依据openssh-askpass openssh openssh-server
openssh-clients这么些顺序删除就能够了。

   加入:-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j
ACCEPT

 

 

   保存后重启iptables就可以

2.安装

2.安装

 

使用yum逐一安装,yum install openssh-askpass **

使用yum逐一安装,yum install openssh-askpass **

壹、Fedora 运转sshd服务:
一、先确认是还是不是已设置ssh服务:
[[email protected]
~]# rpm -qa | grep openssh-server openssh-server-5.3p1-19.fc12.i686
(这…

安装openssh-server时提示:

安装openssh-server时提示:

unpacking of archive failed on file
/user/sbin/sshd cpio:rename

unpacking of archive failed on file
/user/sbin/sshd cpio:rename

去除文件提示Operation not
permitted错误

删去文件提示Operation not
permitted错误

询问文件的隐藏属性

查询文件的隐藏属性

lsattr /usr/sbin/sshd

lsattr /usr/sbin/sshd

-u—ia–e /usr/sbin/sshd

-u—ia–e /usr/sbin/sshd

i:设定文件不能够被去除、改名、设定链接关系,同时不能够写入或新增添内容。i参数对于文本
系统的安全设置有非常大扶助。

i:设定文件无法被删除、改名、设定链接关系,同时不能够写入或新扩大内容。i参数对于文本
系统的安全设置有相当的大扶持。

a
即append,设定该参数后,只好向文件中添扩充少,而不能够去除,多用于服务器日志文件安全,唯有root才能设定那脾个性

a
即append,设定该参数后,只可以向文件中添扩张少,而不可能去除,多用于服务器日志文件安全,唯有root才干设定这几个个性

利用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,撤除相应设置之后剔除成功

行使 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,撤消相应设置之后剔除成功

`+ :在原来参数设定基础上,追加参数。

`+ :在原始参数设定基础上,追加参数。

  • :在原本参数设定基础上,移除参数澳门金沙国际 ,`
  • :在原始参数设定基础上,移除参数`

再次yum install openssh-server
成功

再次yum install openssh-server
成功

 

 

叁.配置ssh登陆调整,设置管理IP,黑白名单

3.布署ssh登陆调控,设置处理IP,黑白名单

vi /etc/ssh/sshd_config

vi /etc/ssh/sshd_config

#修改端口号

#修改端口号

Port 52111

Port 52111

#只同意SSH二形式的连年

#只同意SSH二格局的接连

Protocol 2

Protocol 2

#唯恐root用户登陆,因为前面会安装可记名IP,所以那边就大概了

#大概root用户登入,因为前面会安装可记名IP,所以这边就大概了

PermitRootLogin yes

PermitRootLogin yes

#不容许空密码

#不容许空密码

PermitEmptyPasswords no

PermitEmptyPasswords no

 

 

#遮掩来自全体的SSH连接请求

#屏蔽来自全数的SSH连接请求

vi /etc/hosts.deny

vi /etc/hosts.deny

sshd: ALL

sshd: ALL

 

 

#允许来自内网内定ip的SSH连接请求

#允许来自内网钦命ip的SSH连接请求

vi /etc/hosts.allow

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.0

sshd: 192.168.253.**

sshd: 192.168.253.**

 

 

安排对应iptables设置

计划对应iptables设置

一.iptables计划规则

一.iptables配备规则

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目的端口号] [-j动作]

iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport指标端口号] [-j动作]

那里需求配备的是filter表,filter表中有input,output,forward三条规则链,要是本机服务相比较多,规则相比较麻烦,比较方便的点子是写shell脚本之后重启ssh服务

此地需求安插的是filter表,filter表中有input,output,forward叁条规则链,要是本机服务比较多,规则相比繁琐,相比省事的格局是写shell脚本之后重启ssh服务

#限制SSH的连接IP

#限制SSH的连接IP

iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j ACCEPT

#SSH辅助52111是修改后SSH端口

#SSH帮助52111是修改后SSH端口

iptables -A OUTPUT -p tcp –sport 52111 -j ACCEPT

iptables -A OUTPUT -p tcp –sport 52111 -j ACCEPT

 

 

此间只是针对性SSH做了简约安顿,具体iptables的安插,详见iptables配置一文

此地只是本着SSH做了简要布置,具体iptables的配置,详见iptables配置一文

安排后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后布署生效。

配置后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后安顿生效。

 

 

 

 

相关文章