Linuxサーバーがハッキングされた後にすべきこと

シナリオ:

月曜日の職場では Centos サーバーの SSH が利用できず、Web やデータベースなどのアプリケーションが応答しません。幸いなことに、vnc にはログインできます

最後のコマンドを使用してクエリを実行すると、2 つ目以前のログイン情報がクリアされ、sshd ファイルは土曜日の夜に変更され、日曜日の夜 2 時にサーバーがリモートで再起動されました。

root pts/1 :1.0 Mon Jul 3 11:09 まだログインしています

root pts/1 :1.0 Mon Jul 3 11:08 - 11:09 (00:01)

root pts/0 :0.0 Mon Jul 3 10:54 まだログインしています

root tty1 :0 (00:25)

root pts/0 : 0.0 Mon Jul 3 10:42 - down (00:01)

root tty1 :0 Mon Jul 3 10:40 - ダウン (00:03)

システム ブート 2.6.32-696.3.2.e を再起動 7 月 2 日日曜日 02:31 - 10:44 (1+08:12)

システム ブート 2.6.32-431.el6 を再起動.x Sun Jul 2 02:27 - 02:27 (00:00)

Jul 2 03:11 :20 oracledb rsyslogd: [origin software="rsyslogd" swVersion="5.8.10

" x-pid=" 1960" x-info="

"] rsyslogd が HUP されました

Jul 2 03:35:11 oracledb sshd[13864]: 識別文字列を受信しませんでした

2 つのポイントでless /var/log/messages コマンドを使用してください最後のコマンドと組み合わせて、2 つのポイントで再起動した後に IPATABLES が有効になることを確認します。マシンはテスト環境であり、ORACLE と Squid がインストールされており、iptables が一時的に存在するため、大量の ssh ブルート フォース スキャン情報があります。再起動後、iptables が開始されます。再度ログインする必要はありませんが、システム内の一部のファイルとメッセージ ファイル内の一部の情報が次のように変更されています。

Jul 2 03:35:12 oracledb sshd[13865]: エラー: 186行目のプライムの説明が間違っています

Jul 2 03:35:12 oracledb sshd[13865]: エラー: 187行目のプライムの説明が間違っています

7月 2 03 :35:12 oracledb sshd[13865]: エラー: 188行目のプライムの説明が間違っています

7月 2 03:35:13 oracledb sshd[13865]: 違法なユーザー サポート f

103.207.37.86のパスワードが失敗しましたポート 58311 ssh2

7 月 2 03:45:05 oracledb sshd[13887]:

103.79.143.234

113.108.21.16

7 月 2 05:10:37 oracledb sshd[14126] からの違法なユーザー サポート

103.79 からの違法なユーザー サポート。 143.234

Jul 2 05:10:37 oracledb sshd[14126]: 不正なユーザー サポート f

rom

103.79.143.234 ポート 57019 ssh2

Jul のパスワードに失敗しました2 05:10:43 oracledb sshd[14128]: しました

から識別文字列を受け取らない

解法

1.root用户密コードを修正

2.sshdファイルが修正されているため、sshを再インストールし、指定された内部ネットワークIPが許可されているだけです

3.iptablesを構成する、iptablesを使用します

SSHD重装

1.rpm -qa | grep ssh查询すでに実装包

系统已実装包：

openssh-clients、openssh-server、openssh、openssh-askpass

删除四包、删除時centos提案包之间有依赖关系、按照示唆从

2. インストール

yum を使用して徐々にインストールし、yum install openssh-askpass **

インストール

openssh-server時のヒント: ファイル/user/sbin/sshd cpio:rename

删除文件の警告

アーカイブの解凍に失敗しました。操作は許可されていません。

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i: 設定ファイルの削除、名前変更、リンク関係の設定、コンテンツの書き込みや追加はできません。 i パラメータは、ファイル システムのセキュリティ設定に非常に役立ちます。

a は追加です。このパラメータを設定した後は、ファイルにデータを追加することのみできますが、これは主にサーバーのログ ファイルのセキュリティに使用されます。

この属性を設定できるのは。 -ia / usr/sbin/sshd ファイルの非表示属性を変更し、対応する設定をキャンセルした後、正常に削除します

+: 元のパラメータ設定に基づいてパラメータを追加します。 -: 元のパラメータ設定に基づいて、パラメータ

を削除し、openssh-server を再度正常にインストールします

3. SSH ログイン制御を設定し、管理 IP、ブラックとホワイト リストを設定します

vi /etc /

ssh/sshd_config

#ポート番号を変更します

Port 52111

#SSH2接続のみを許可します

プロトコル2

#ログインIPは後で設定されるため、rootユーザーのログインを許可しますここではAllowedです

PermitRootLogin yes

#空のパスワードを許可しません

PermitEmptyPasswords no

#からのSSH接続リクエストをすべてブロックします

vi /etc/hosts.deny

sshd: ALL

#からの指定されたIPを許可しますイントラネット SSH 接続リクエスト

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.253.**

iptables 設定に対応する設定

1.iptables 設定ルール

iptables [- t テーブル名] [-A|I|D|R チェーン名] [-i ネットワークカード名] [-p プロトコル] [-s ソース IP] [-d ターゲット IP] [--dport ターゲット ポート番号] [- j アクション]

ここで設定する必要があるのはフィルター テーブルです。フィルター テーブルには入力、出力、転送の 3 つのルール チェーンがあります。ローカル サービスが多く、ルールが複雑な場合は、次の方法が便利です。シェルスクリプトを書いて、sshサービスを再起動します

#制限事項 SSH接続 IP

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 - p tcp --dport 22 -j ACCEPT

#SSH support 52111 は、変更された SSH ポートです

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

これは、SSH の単なる単純な構成です。詳細については、iptables 構成の記事を参照してください。

設定 /etc/rc.d/init.d/iptables を保存した後、service iptables restart を使用してサービスを再起動すると、設定が有効になります。

以上がLinuxサーバーがハッキングされた後にすべきことの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。