一般情况写 黑客 在入侵服务器后都会添加

一次linux服务器黑客入侵后处理,linux后处理

 场景:
周一上班centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录
使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启
root     pts/1        :1.0             Mon Jul  3 11:09   still logged in   
root     pts/1        :1.0             Mon Jul  3 11:08 – 11:09  (00:01)    
root     pts/0        :0.0             Mon Jul  3 10:54   still logged in   
root     tty1         :0               Mon Jul  3 10:53   still logged in   
reboot   system boot  2.6.32-696.3.2.e Mon Jul  3 10:46 – 11:11  (00:25)    
root     pts/0        :0.0             Mon Jul  3 10:42 – down   (00:01)    
root     tty1         :0               Mon Jul  3 10:40 – down   (00:03)    
reboot   system boot  2.6.32-696.3.2.e Sun Jul  2 02:31 – 10:44 (1+08:12)   
reboot   system boot  2.6.32-431.el6.x Sun Jul  2 02:27 – 02:27  (00:00) 
Jul  2 03:11:20 oracledb rsyslogd: [origin software=”rsyslogd” swVersion=”5.8.10
” x-pid=”1960″ x-info=” ] rsyslogd was HUPed
Jul  2 03:35:11 oracledb sshd[13864]: Did not receive identification string from
  使用less
/var/log/messages命令2点结合last命令,判断2点重启后IPATABLES生效,有大量的ssh暴力破解的扫描信息,由于机器是测试环境,上面安装了ORACLE和squid,临时管理了iptables,重启后iptables启动,应该没有再次被再次登录,但是系统中部分文件以及被修改
  message文件中部分信息如下: 103.207.37.86
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 186
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 187
Jul  2 03:35:12 oracledb sshd[13865]: error: Bad prime description in line 188
Jul  2 03:35:13 oracledb sshd[13865]: Failed password for illegal user support f
103.207.37.86 port 58311 ssh2
Jul  2 03:45:05 oracledb sshd[13887]: Illegal user support from 
103.79.143.234   113.108.21.16
Jul  2 05:10:37 oracledb sshd[14126]: Illegal user support from 
103.79.143.234
Jul  2 05:10:37 oracledb sshd[14126]: Failed password for illegal user support f
rom  103.79.143.234 port 57019 ssh2
Jul  2 05:10:43 oracledb sshd[14128]: Did not receive identification string from
  解决方法 1.修改root用户密码
2.由于sshd文件被修改,重新安装ssh,并设置只有指定内网IP可以访问
3.配置iptables,使iptables   重装SSHD 1.rpm -qa | grep ssh查询已安装包
系统已安装包: openssh-clients,openssh-server,openssh,openssh-askpass
删除这四个包,删除时centos提示包之间有依赖关系,按照提示从依赖关系的最里层开始删除,
按照openssh-askpass openssh openssh-server
openssh-clients这个顺序删除就可以了。   2.安装 使用yum逐一安装,yum
install openssh-askpass ** 安装openssh-server时提示: unpacking of
archive failed on file /user/sbin/sshd cpio:rename 删除文件提示Operation
not permitted错误 查询文件的隐藏属性 lsattr /usr/sbin/sshd -u—ia–e
/usr/sbin/sshd
i:设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。i参数对于文件
系统的安全设置有很大帮助。 a
即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性
使用 chattr -ia
/usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功
+ :在原有参数设定基础上,追加参数。 - :在原有参数设定基础上,移除参数
再次yum install openssh-server 成功  
3.配置ssh登录控制,设置管理IP,黑白名单 vi /etc/ssh/sshd_config
#修改端口号 Port 52111 #只允许SSH2方式的连接 Protocol 2
#容许root用户登录,因为后面会设置可登录IP,所以这里就容许了
PermitRootLogin yes #不容许空密码 PermitEmptyPasswords no  
#屏蔽来自所有的SSH连接请求 vi /etc/hosts.deny sshd: ALL  
#允许来自内网指定ip的SSH连接请求 vi /etc/hosts.allow sshd: 192.168.0
sshd: 192.168.253.**   配置对应iptables设置 1.iptables配置规则
iptables [-t表名] [-A|I|D|R 链名 ] [-i网卡名] [-p协议]
[-s源IP] [-d目标ip] [–dport目标端口号] [-j动作]
这里需要配置的是filter表,filter表中有input,output,forward三条规则链,如果本机服务比较多,规则比较繁琐,比较便捷的方法是写shell脚本之后重启ssh服务
#限制SSH的连接IP iptables -A INPUT -s 192.168.101.32 -p tcp –dport 22
-j ACCEPT iptables -A INPUT -s 192.168.101.35 -p tcp –dport 22 -j
ACCEPT
#SSH支持52111是修改后SSH端口 iptables -A OUTPUT -p tcp –sport 52111 -j
ACCEPT  
这里只是针对SSH做了简单配置,具体iptables的配置,详见iptables配置一文
配置后/etc/rc.d/init.d/iptables save保存,使用service iptables
restart重启服务后配置生效。    

场景:周一上班centos服务器ssh不可用,web和数据库等应用不响应。好在vnc可以登录使用last命令…

近期,国外的几家公司纷纷宣告遭到黑客入侵,其中不乏暴雪战网以及Rockstar等知名游戏平台。而现在,这个”待遇”也落到了EA身上!

一般情况写黑客在入侵服务器后都会添加新的用户或者和设置后门程序.

图片 1

如果大家在使用服务器的过程中发现,出现了不能删除的用且账号不能够正常删除提示无法在内置账号进行此操作。

据悉,在遭遇黑客共计的24小时内,EA服务器下的几款热门游戏均出现了不同程度的影响,其中包括《FIFA
15》、《战地4》甚至连手机游戏《辛普森一家》也没有幸免。

如果管理员遇到这样的情况的话就需要注意了你的服务器可能被入侵了。

图片 2

 图片 3

而在攻击事件后,立即有一支名为“Lizard
Squad”的黑客组织声明,此次EA服务器遭到攻击就是他们所为,不仅如此此前暴雪、PSN、Rockstar以及2K服务器攻击行为也是出自该组织。不过令人匪夷所思的是Lizard
Squad只表示愿意为此次EA的事情负责,此前的事情则不过问。

一般黑客都将这种的添加账号的手段称为”不死账户”

图片 4

首先我们来了解建立不死账户的方法,
1.黑客其将guest用户放到administratorss组中,当管理administrator登录后删除administratorss组中的guest账户,保存时提示“无法在内置账户上运行此操作”

虽然EA方面目前已经宣布正在积极修复服务器,不过毕竟现在还没有人能证实该黑客组织的言论真实性且目的也不得而知,估计这件事还没完…

(系统自带的账户是不能删除的只能禁用黑客就是利用了guest不能删除的原理)

图片 5

解决方法:把它隶属管理员组的属性去掉,禁用账户,这样就可以了

更多新鲜行业资讯,尽在4399手机游戏!

2.再另外一台服务器也是2003系统的电脑找到HKEY_LOCAL_MACHINE\SAM\SAM,单击鼠标右键在弹出的子菜单中选择权限
(WIN
2000的操作系统运行regedt32,找到HKEY_LOCAL_MACHINE\SAM\SAM,选择
安全→权限)

然后把你现在所使用的用户添加进入,并选择
完全控制,再刷新一下就可以看到SAM下面的项了。然后到guest账号对应的000001F5的项,鼠标右键导出并保存该文件,名字随意。
然后把保持的文件复制到被黑客入侵的的机器上,然后双击导入到注册表。
(然后觉得麻烦也可以,把下面的值直接复制过去保存也可以)

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Windows Registry Editor Version5.00 [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5] "F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\   00,00,00,00,00,00,00,00,00,ff,ff,ff,ff,ff,ff,ff,7f,00,00,00,00,00,00,00,00,\   f5,01,00,00,01,02,00,00,15,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\   00,00,00,b1,d4,61,f5 "V"=hex:00,00,00,00,b0,00,00,00,02,00,01,00,b0,00,00,00,0a,00,00,00,00,00,00,\   00,bc,00,00,00,00,00,00,00,00,00,00,00,bc,00,00,00,22,00,00,00,00,00,00,00,\   e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,\   00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,\   00,00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,\   00,00,00,00,00,00,00,00,00,e0,00,00,00,00,00,00,00,00,00,00,00,e0,00,00,00,\   08,00,00,00,01,00,00,00,e8,00,00,00,04,00,00,00,00,00,00,00,ec,00,00,00,04,\   00,00,00,00,00,00,00,f0,00,00,00,04,00,00,00,00,00,00,00,f4,00,00,00,04,00,\   00,00,00,00,00,00,01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,44,00,00,\   00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\   00,00,00,00,02,c0,14,00,ff,ff,1f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\   00,4c,00,03,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\   00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\   00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\   01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,\   00,00,00,20,02,00,00,47,00,75,00,65,00,73,00,74,00,00,00,9b,4f,65,67,be,5b,\   bf,8b,ee,95,a1,8b,97,7b,3a,67,16,62,bf,8b,ee,95,df,57,84,76,85,51,6e,7f,10,\   5e,37,62,97,7b,01,02,00,00,07,00,00,00,01,00,01,00,01,00,01,00,01,00,01,00,\   01,00,01,00

 

 现在即可打开账户管理,从administrators组中即可删除了。
 
以上方法解决的可行的,关于第一种方法禁用guest,可是禁用还可能会被黑客重新开启,还有就是guest账号老赖在administrators组里很碍眼。

 

还有一种就是把guest账号从注册表里删除,不过guest账号再特殊的时候还是有它的用途的,不建议删除。而且这种种了木马的你直接从注册表里删除的话,你再重新打开我的电脑管理里的账户管理,会每次弹出安全映射之类的报错。

所以再对注册表操作之前一定要备份好相应的项,以防万一时恢复注册表。
 
安全措施:
1.guest账号禁用。
2.guest账号和administrator账号重命名为自定义名字。
3.给administrator账号重设一个复杂的密码
4.检查系统漏洞并更新补丁。

 

相关文章