记一次服务器被攻击始末
来源:互联网 发布:网络舆情案例分析 编辑:程序博客网 时间:2024/04/21 00:11
本文地址:www.daihui.xyz
之前看鸟哥的linux私房菜,一直都是略过服务器登录日志什么的,结果在今天栽了跟头。之前放在服务器上的网站一直没时间去看,结果今天点开一看居然访问不了了,查看tomcat竟然连项目都没有了,简直诧异。于是查看了所开的几个账号的登录日志和操作记录也没有发现什么异常。得出结论:肯定就是被人攻击进去删的。于是查看登录档,发现有如下记录:
Jul 4 21:23:57 irGZky105050 sshd[23131]: input_userauth_request: invalid user root [preauth]Jul 4 21:24:00 irGZky105050 sshd[23131]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.116.41.244 user=rootJul 4 21:24:00 irGZky105050 sshd[23131]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"Jul 4 21:24:02 irGZky105050 sshd[23131]: Failed password for invalid user root from 113.116.41.244 port 64985 ssh2Jul 4 21:33:09 irGZky105050 sshd[23264]: Accepted password for daihui from 59.63.249.55 port 58607 ssh2
如上显示的只是一部分,查了一下ip不只是哪个外星的。登进去就算了,竟然还厚颜无耻的把我的项目给删了,那就怪不得我了,话不多说先把这些ip加入黑名单:
命令行执行命令,将该ip列为禁止访问列表,*为ip:iptables -I INPUT -s ***.***.***.*** -j DROP加完之后大概有这么些被禁止了,查看: iptables --listChain INPUT (policy ACCEPT)target prot opt source destinationDROP all -- 62.112.11.8 anywhereDROP all -- 103.230.222.226 anywhereDROP all -- 103.242.64.26 anywhereDROP all -- host-11-230.internetunion.pl anywhereDROP all -- 5.140.145.63 anywhereDROP all -- 123.183.209.135 anywhereDROP all -- 116.31.116.11 anywhereDROP all -- 123.183.209.135 anywhereDROP all -- 211.142.139.13 anywhereDROP all -- 59.63.249.52 anywhere
但是禁止这些是远远不够的,稍微会玩的都会换ip登录,所以只得进一步加强防范,目前也只是禁止root用户ssh登录,并且更改了端口具体步骤如下:
首先是禁止root用户ssh登录,在网上查了一下,千篇一律复制粘贴呀,不要太坑而且没啥用,可能是centos7不一样吧。网上大致有如下一个版本:
修改/etc/ssh/sshd_conf 文件,将 PermitRootLogin yes 修改为 no 如下:# PermitRootLogin yes ----》 PermitRootLogin no然后重启,service restart sshd,然而在我这边并没有什么用,不知道是什么原因,root还是照样登录,这样只能换一种方式了。我的做法是在该文件的末尾添加了如下语句: AllowUsers user1,user2该行的意思是只允许user1,user2进行ssh登录,然后重启使用如下命令: systemctl restart sshd 再使用root用户进行登录进不可行了,同时修改了登录端口,默认为22,也在sshd_conf中修改: #Port 22 ----》 Port 端口 之后重启sshd即可。
到此为止总算暂时防止了再被人莫名其妙的登录了,没有办法只能继续看看鸟哥了。
阅读全文
0 0
- 记一次服务器被攻击始末
- 记一次服务器被攻击处理
- 记一次服务器被恶意攻击的情况
- 记一次openvpn服务器被攻击的经历
- 纪念下第一次公网服务器被攻击
- 记一次自动导出CVS配置始末
- 服务器遭受的一次攻击
- 记一次疑似DDos攻击
- 一次IBM X3650 m3系统故障的始末
- 记服务器被 ssh-scan 攻击
- 服务器总被攻击
- 服务器被攻击了
- 服务器被攻击实录
- 服务器被攻击了!
- 服务器被攻击小记
- 服务器总是被攻击
- 服务器经常被攻击
- 记一次云服务器被入侵
- C语言的文件操作之以字符形式读写文件
- Java的前世今生
- springmvc的搭建
- kehou
- POJ 1019--Number Sequence
- 记一次服务器被攻击始末
- ThinkPHP框架总结四
- 2017.7.4暑期第一天
- spacemacs放大缩小文本
- Linux 离线安装SVN
- Lucene初识HelloWorld
- ASCII码表
- Amazon S3服务 简介及基本概念
- Java并发编程:CountDownLatch、CyclicBarrier和Semaphore