幽灵学院 - 菜鸟起航从这里开始!

幽灵学院 - 中国最权威的网络安全门户网站!

当前位置: > 技术文章 > 系统安全 >

linux服务器被入侵后的那些事

哎呀,悲剧了,好像被入侵了,查看了下/var/log/messages和last都已经清理。没事,还好有邮箱报警!怎么追踪呢host.allow里面设置sshd:*:spawn/bin/echo%c%d|mail-s#39;标题#39;邮箱地址第一先禁止这个ip访问用...

 

 哎呀,悲剧了,好像被入侵了,,查看了下/var/log/messages和last都已经清理。

没事,还好有邮箱报警!

怎么追踪呢 host.allow 里面设置

sshd : * : spawn /bin/echo %c %d | mail -s '标题' 邮箱地址

第一先禁止这个ip访问

用rkhunter扫下,是否存在rootkit恶意程序。

试试证明,被弄了ssh后门。

果断的重新编译ssh/我系统是centos,直接卸载,用yum安装

下面继续检查

没有异常。

网络连接一切正常。

帐号也没什么异常。

find /etc -cmin -10 使用find查找了下10分钟内创建的文件

哎呀,大马。。杀掉咯。。

至于通过什么漏洞入侵服务器,肯定是网站咯,

分析下网站数据,至于网站怎么修复。往下就不说勒,不是我的事!

 

另外linux服务器防御再小提一点!图的话就不上了!很基本的防御能防御小哦!亲

首先很多人拿到服务器如果一看是linux的很多时候他们想到的是反弹,那么我目的就是要阻止你反弹! 哼哼!!

看看你网站是以apache 还是noboday权限运行。 设置setfacl !比如是apache。那么我们就setfack –m u:apache:--- /bin  /sbin 让他们执行不了命令就算他们上传反弹脚本 不能执行撒,如果是的反弹脚本我还真没遇见过,有遇见的求给!!

其次phpshell自带反弹的,但是它们反弹的时候会在/tmp下创建东西才能成功!!

由于php上传会文件会涉及到临时上传 文件会放在tmp文件下,所以我们不能把tmp封死,但是可以给但是可以让去掉它的执行权限。他不就反弹不了啦!!一样的setfacl

至于内核升级不建议,会出很多问题,如果想稳定的话 ,所以多观察服务器多看日志,等是一个优秀管理应该做的事!

(责任编辑:幽灵学院)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名: 验证码: 点击我更换图片
栏目列表
推荐内容
1700055555@qq.com 工作日:9:00-21:00
周 六:9:00-18:00
  扫一扫关注幽灵学院