Linux 서버가 해킹된 후 해야 할 일

시나리오:

월요일 직장에서는 Centos 서버 SSH를 사용할 수 없으며 웹, 데이터베이스 등 애플리케이션이 응답하지 않습니다. 다행히 vnc 로그인이 가능합니다

마지막 명령어를 이용해서 쿼리해 보세요. 2차 이전 로그인 정보는 지워졌고, 토요일 밤에 sshd 파일이 수정되어서 일요일 밤 2시에 서버가 원격으로 재시작되었습니다

root pts/1 :1.0 Mon 7월 3일 11:09 여전히 로그인되어 있음

root pts/1 :1.0 Mon Jul 3 11:08 - 11:09 (00:01)

root pts/0 :0.0 Mon 7월 3일 10:54 여전히 로그인됨

root tty1 :0 (00:25)

root pts/0 : 0.0 Mon Jul 3 10:42 - down (00:01)

root tty1 :0 Mon Jul 3 10:40 - 다운 (00:03)

reboot system boot 2.6.32-696.3.2.e Sun Jul 2 02:31 - 10:44 (1+08:12)

reboot system boot 2.6.32-431.el6 .x 일요일 7월 2일 02:27 - 02:27 (00:00)

7월 2일 03:11 :20 oracledb rsyslogd: [origin 소프트웨어="rsyslogd" swVersion="5.8.10

" x-pid=" 1960" x-info="

"] rsyslogd가 HUPed되었습니다

Jul 2 03:35:11 oracledb sshd[13864]:

로부터 식별 문자열을 받지 못했습니다. 2점에서 less /var/log/messages 명령을 사용하세요. 머신이 테스트 환경이고 ORACLE 및 Squid가 설치되어 있고 iptables가 임시로 설치되어 있기 때문에 2개 지점에서 다시 시작한 후 IPATABLES가 적용되는지 확인하기 위해 마지막 명령과 결합됩니다. 다시 시작하면 iptables가 다시 로그인되지 않아야 하는데 시스템의 일부 파일과 메시지 파일의 일부 정보가 다음과 같이 수정되었습니다.

Jul 2 03:35:12 oracledb sshd[13865]: 오류: 186행의 잘못된 프라임 설명 186

Jul  2 03:35:12 oracledb sshd[13865]: 오류: 187

J 라인의 잘못된 프라임 설명 ul  2 03 :35:12 oracledb sshd[13865]: 오류: 188

Jul 2행의 잘못된 프라임 설명 58311 ssh2

7월 2일 03:45:05 oracledb sshd[13887]:

103.79.143.234

113.108.21.16

Jul 205:10:37 oracledb sshd[14126]의 불법 사용자 지원: 

103.79의 불법 사용자 지원. 143.234

Jul 2 05:10:37 oracledb sshd[14126]: 불법 사용자 지원 f

rom 

103.79.143.234 포트 57019 ssh2

Jul  2 05:10:43 oracledb sshd[14128]: 했어요 에서 식별 문자열을 받지 못합니다.可以访问

3.配置iptables，使iptables

중대SSHD

1.rpm -qa | grep ssh查询已安装包

系统已安装包：

openssh-clients，openssh-server，openssh，openssh-askpass

删除这4个包，删除时centos提示包之间有依赖关系，按光提示从依赖关系的最里层开始删除,

按Photoopenssh-askpass openssh openssh-server openssh-clients这个顺序删除就可以了。

2.ann装

사용y um逐一安装，yum install openssh-askpass **

安装

openssh-server

时提示：

/user/sbin/sshd 파일에서 아카이브 압축 풀기에 실패했습니다.查询文件的隐藏属性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

i: 설정 파일을 삭제할 수 없고 이름을 바꿀 수 없으며 링크 관계를 설정할 수 없으며 콘텐츠를 쓰거나 추가할 수 없습니다. i 매개변수는 파일 시스템의 보안 설정에 매우 유용합니다.

a는 추가입니다. 파일에 데이터를 추가할 수만 있고 삭제할 수는 없습니다. 주로 서버 로그 파일 보안을 위해 사용됩니다.

chattr을 사용하세요. -ia / usr/sbin/sshd파일의 숨겨진 속성을 수정하고 해당 설정을 취소한 후 성공적으로 삭제합니다

+ ：在原有参数设定基础上，追加参数。 - ：在原有参数设定基础上，移除参数

yum openssh-server를 다시 성공적으로 설치합니다

3. SSH 로그인 제어 구성, 관리 IP 설정, 흑백 목록

vi /etc/ssh/sshd_config

#포트 번호 수정

포트 52111

#SSH2 연결만 허용

프로토콜 2

#루트 사용자 허용 로그인 IP는 나중에 설정되므로 여기서 허용됩니다

PermitRootLogin yes

#빈 비밀번호는 허용되지 않습니다

PermitEmptyPasswords no

#모든 SSH 연결 요청 차단

vi /etc/hosts.deny

sshd: ALL

#인트라넷에서 지정된 IP의 SSH 연결 요청 허용

vi /etc/hosts.allow

sshd: 192.168.0

sshd: 192.168.253 .**

iptables 설정에 따른 구성

1.iptables 구성 규칙

iptables [-t 테이블 이름] [-A|I|D|R 체인 이름] [-i 네트워크 카드 이름] [-p 프로토콜] [-s 소스 IP] [-d 대상 IP] [--dport 대상 포트 번호] [-j 동작]

여기서 구성해야 할 것은 필터 테이블에는 입력, 세 가지 규칙 체인이 있습니다. 로컬 서비스가 많으면 규칙이 더 번거롭고 편리합니다. 셸 스크립트를 작성한 다음 ssh 서비스를 다시 시작하는 방법입니다

#SSH 연결 IP 제한

iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 192.168.101.35 - p tcp --dport 22 -j ACCEPT

#SSH 지원 52111은 수정된 SSH 포트입니다

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

이것은 SSH에 대한 간단한 구성일 뿐입니다. 특정 iptables 구성에 대한 자세한 내용은 iptables 구성 문서를 참조하세요.

구성 /etc/rc.d/init.d/iptables를 저장한 후 service iptables restart를 사용하여 서비스를 다시 시작하면 구성이 적용됩니다.

위 내용은 Linux 서버가 해킹된 후 해야 할 일의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!