linux伺服器被駭客入侵後處理

 場景：

週一上班centos伺服器ssh不可用，web和資料庫等應用程式不回應。還好vnc可以登入

使用last指令查詢，2號之前的登入資訊已被清空，並且sshd檔在週六晚上被修改，週日晚上2點伺服器被人遠端重啟

root     pts/1        :1.0             Mon         :1.0             Mon Jul  3 11:08 - 11:09  (00:011)# root     pts/0        :0.0             Mon Jul  3         :0               Mon Jul  3 10:53   st. .2 .e Mon Jul  3 10:46 - 11:11  (00:25)    

root     ul  3 10:42 - down   (00:01)    

root      tty1 :0               Mon Jul  3 10:40 - down   (00:03)   Jul  2 02:31 - 10:44 (1+08:12)

reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 - 02:27  (00:00) #db##102:27  (00:00): origin software="rsyslogd" swVersion="5.8.10

" x-pid="1960" x-info="

##"] rsyslogd was HUPed

Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from

使用less /var/log/messages指令2點結合last指令，判斷2點重新啟動後IPATABLES生效，有大量的slast指令，判斷2點重新啟動後IPATABLES暴力破解的掃描訊息，由於機器是測試環境，上面安裝了ORACLE和squid，臨時管理了iptables，重啟後iptables啟動，應該沒有再次被登錄，但是系統中部分文件以及被修改

# message檔案中部分資訊如下：

103.207.37.86

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186

Jul  2 03,35:120 scription in line 187

Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188##dbcle##Jul  for illegal user support f

103.207.37.86 port 58311 ssh2

Jul  2 03:45:05 oradb sshd[13887]:1Ille 234

113.108.21.16

##Jul  2 05:10:37 oracledb sshd[14126]: Illegal user   from 

103.79.213. 37 oracledb sshd[14126]: Failed password for illegal user support f

rom 

103.79.143.234 port#57019#> 14128] : Did not receive identification string from

#解決方法

1.修改root使用者密碼

2.由於sshd檔案被修改，重新安裝ssh，並設定只有指定內網IP可以存取

3.設定iptables，使iptables

重裝SSHD

1.rpm -qa | grep ssh查詢已安裝套件

#系統已安裝套件：

openssh-clients，openssh-server，openssh，openssh-askpass

刪除這四個套件，刪除時centos提示套件之間有依賴關係，按照提示從依賴關係的最裡層開始刪除，

依照openssh-askpass openssh openssh-server openssh-clients這個順序刪除就可以了。

2.安裝

使用yum逐一安裝，yum install openssh-askpass **

在安裝

openssh-server

時提示：

unpacking of archive failed on file /user/sbin/sshd cpio:rename

刪除檔案提示Operation not permitted錯誤

##刪除檔案提示Operation not permitted錯誤

#查詢檔案的隱藏屬性

lsattr /usr/sbin/sshd

-u---ia--e /usr/sbin/sshd

#i:設定檔不能被刪除、改名、設定連結關係，同時不能寫入或新增內容。 i參數對於檔案 系統的安全設定有很大幫助。

a 即append，設定該參數後，只能向文件中添加數據，而不能刪除，多用於伺服器日誌檔案安全，只有root才能設定這個屬性

使用chattr -ia /usr/sbin/sshd#修改檔案的隱藏屬性，取消對應設定之後刪除成功

+ ：在原有參數設定基礎上，追加參數。 - ：在原有參數設定基礎上，移除參數

#再次yum install openssh-server 成功

####### ###3.設定ssh登入控制，設定管理IP，黑白名單#########vi /etc/###ssh/###sshd_config############################################################ #修改埠號######Port 52111#######只允許SSH2方式的連線######Protocol 2#######容許root用戶登錄，因為後面會設定可登入IP，所以這裡就容許了######PermitRootLogin yes########不容許空密碼######PermitEmptyPasswords no########封鎖來自所有的SSH連線請求# #####vi /etc/hosts.deny######sshd: ALL#######允許來自內部網路指定ip的SSH連線要求######vi /etc/hosts. allow######sshd: 192.168.0#########sshd: 192.168.0######sshd: 192.168.253.**######設定對應iptables設定######1.iptables設定規則### ###iptables [-t表名] [-A|I|D|R 鏈名] [-i網卡名] [-p協定] [-s來源IP] [-d目標ip] [--dport目標連接埠號碼] [-j動作]######這裡需要設定的是filter表，filter表中有input，output，forward三條規則鏈，如果本機服務比較多，規則比較繁瑣，比較便捷的方法是寫shell腳本之後重新啟動ssh服務#######限制SSH的連線IP######iptables -A INPUT -s 192.168.101.32 -p tcp --dport 22 -j ACCEPT###### #iptables -A INPUT -s 192.168.101.35 -p tcp --dport 22 -j ACCEPT######

#SSH支援52111是修改後SSH連接埠

iptables -A OUTPUT -p tcp --sport 52111 -j ACCEPT

這裡只是針對SSH做了簡單配置，具體iptables的配置，詳見iptables設定一文

設定後/etc/rc.d/init.d/iptables save儲存，使用service iptables restart重新啟動服務後設定生效。

以上是linux伺服器被駭客入侵後處理的詳細內容。更多資訊請關注PHP中文網其他相關文章！