情況一:發現公司一台正式生產伺服器(有公網ip)的root密碼被修改,導致無法登陸伺服器
1)進入單使用者模式修改root密碼,伺服器在身邊,自己修改
2)打**找idc機房管理人員修改,如果有grub加密,告訴相關人grub密碼
情況二:如果沒有改密碼,只是伺服器被做肉雞,大量發外資料報
1)last命令檢視最近登入過本伺服器的ip位址和時間,用ip138查詢ip位置 #如阿里雲主機有異地登入提醒
2)立刻檢視sshd遠端連線服務的secure日誌
解決方案
第一步:首先將此非法ip遮蔽, 防止在處理過程中再次破壞
方法1:
使用iptables防火牆
iptables -a input -s 188.173.171.146 -j drop
方法2:
修改配置檔案 vim /etc/hosts.deny
all : 114.8.23.4
第二步:找出黑客留下的後門帳號
方法1:
過濾bash,檢視/etc/passwd 和/etc/group 中有無多餘需要登入的使用者
grep bash /etc/passwd
方法2:檢視家目錄
ls /home/
隱藏使用者身份方法
1)隱藏家目錄,指定家目錄在其他目錄
useradd -d /bin/email email
2)隱藏bash,
把改完後內容插入到passwd中間位置
cp /bin/bash /sbin/nologin
vim /etc/passwd
改:email:x:500:501::/home/email:/bin/bash
為:email:x:43:43::/bin/email:
/sbin/nologin
排查方法1:
找乙個好的伺服器的passwd檔案和被黑的伺服器做比,對比兩個檔案是否一樣
vimdiff /etc/passwd /opt/passwd-ok
方法2:
檢視賬戶是否有對應的登入密碼 vim /etc/shadow
隱藏使用者身份方法-改進型
1)可以給系統預設的bin使用者乙個密碼
echo 123456 | passwd --stdin bin
2)開啟了sshd允許無密碼登入,比如:sync帳號
vim /etc/ssh/sshd_config
#65 permitemptypasswords no #是否允許以空的密碼登入
3)修改passwd檔案,去掉x。作用:密碼佔位符。去掉後,就說明這個使用者沒有密碼
vim /etc/passwd
改:sync:x:5:0:sync:/sbin:/bin/sync
為:sync::5:0:sync:/sbin:/bin/sync
排查
方法1:
和好伺服器上的sshd_config做對比
diff /etc/ssh/sshd_config /opt/sshd_config-ok
方法2:
diff /etc/passwd /opt/passwd
由於Redis漏洞導致伺服器被黑
redis預設情況下,會繫結在0.0.0.0 6379,這樣將會將redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意使用者在可以訪問目標伺服器的情況下未授權訪問redis以及讀取redis的資料。攻擊者在未授權訪問redis的情況下可以利用redis的相關方法,可以成功在redis...
伺服器被黑有哪些防止措施
在頻頻惡意攻擊使用者 系統漏洞層出不窮的今天,作為網路治理員 系統治理員雖然在伺服器的安全上都下了不少功夫,諸如及時打上系統安全補丁 進行一些常規的安全配置,但有時仍不安全。因此必須惡意使用者入侵之前,通過一些系列安全設定,來將入侵者們擋在 安全門 之外,下面就將我在3a網路 伺服器上做的一些最簡單...
Apache Web伺服器惡意軟體後門威脅來臨
根據安全公司eset和sucuri的研究員介紹,最近出現了乙個針對apache web伺服器的新威脅,apache web伺服器是世界上使用最廣泛的web伺服器。這個威脅是乙個非常高階且隱秘的後門,它可以將流量重定向到有blackhole攻擊包的惡意 研究員將這個後門命名為linux cdorked...