记一次服务器被攻击始末

来源：互联网发布：网络舆情案例分析编辑：程序博客网时间：2024/04/21 00:11

本文地址：www.daihui.xyz

之前看鸟哥的linux私房菜，一直都是略过服务器登录日志什么的，结果在今天栽了跟头。之前放在服务器上的网站一直没时间去看，结果今天点开一看居然访问不了了，查看tomcat竟然连项目都没有了，简直诧异。于是查看了所开的几个账号的登录日志和操作记录也没有发现什么异常。得出结论：肯定就是被人攻击进去删的。于是查看登录档，发现有如下记录：

Jul  4 21:23:57 irGZky105050 sshd[23131]: input_userauth_request: invalid user root [preauth]Jul  4 21:24:00 irGZky105050 sshd[23131]: pam_unix(sshd:auth): authentication failure; logname= uid=0       euid=0 tty=ssh ruser= rhost=113.116.41.244  user=rootJul  4 21:24:00 irGZky105050 sshd[23131]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"Jul  4 21:24:02 irGZky105050 sshd[23131]: Failed password for invalid user root from 113.116.41.244 port 64985 ssh2Jul  4 21:33:09 irGZky105050 sshd[23264]: Accepted password for daihui from 59.63.249.55 port 58607 ssh2

如上显示的只是一部分，查了一下ip不只是哪个外星的。登进去就算了，竟然还厚颜无耻的把我的项目给删了，那就怪不得我了，话不多说先把这些ip加入黑名单：

命令行执行命令，将该ip列为禁止访问列表，*为ip：iptables -I INPUT -s ***.***.***.*** -j DROP加完之后大概有这么些被禁止了，查看： iptables --listChain INPUT (policy ACCEPT)target     prot opt source               destinationDROP       all  --  62.112.11.8          anywhereDROP       all  --  103.230.222.226      anywhereDROP       all  --  103.242.64.26        anywhereDROP       all  --  host-11-230.internetunion.pl  anywhereDROP       all  --  5.140.145.63         anywhereDROP       all  --  123.183.209.135      anywhereDROP       all  --  116.31.116.11        anywhereDROP       all  --  123.183.209.135      anywhereDROP       all  --  211.142.139.13       anywhereDROP       all  --  59.63.249.52         anywhere

但是禁止这些是远远不够的，稍微会玩的都会换ip登录,所以只得进一步加强防范，目前也只是禁止root用户ssh登录，并且更改了端口具体步骤如下：

首先是禁止root用户ssh登录,在网上查了一下，千篇一律复制粘贴呀，不要太坑而且没啥用，可能是centos7不一样吧。网上大致有如下一个版本：

修改/etc/ssh/sshd_conf 文件，将 PermitRootLogin yes 修改为 no 如下：# PermitRootLogin yes  ----》  PermitRootLogin no然后重启，service restart sshd，然而在我这边并没有什么用，不知道是什么原因，root还是照样登录，这样只能换一种方式了。我的做法是在该文件的末尾添加了如下语句：  AllowUsers  user1,user2该行的意思是只允许user1，user2进行ssh登录，然后重启使用如下命令：  systemctl restart sshd  再使用root用户进行登录进不可行了，同时修改了登录端口，默认为22，也在sshd_conf中修改：  #Port 22   ----》  Port 端口 之后重启sshd即可。

到此为止总算暂时防止了再被人莫名其妙的登录了，没有办法只能继续看看鸟哥了。

阅读全文

0 0