服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined
PS:本人非专业网络安全攻防人员,仅为个人实践经验。本文可能难免有不当之处,欢迎您的讨论和指导。此外,本文同时发布在个人GitHub Pages上了,欢迎访问和指导。
1. 确定服务器是否被黑客攻击和被挖矿
确认服务器是否出现被黑客攻击和被挖矿等异常情况的方法有:
1.1. 查看显卡使用是否异常
使用nvidia-smi
或其他命令发现显卡使用出现异常,如:
- 显卡被某用户的不明进程占用,且利用率很高甚至为100%。
1.2. 查看进程信息是否异常
使用top
或其他命令发现进程出现异常,如:
- 某用户的进程运行命令中出现了
eth
、coin
、wallet
、pool
或其他与挖矿相关的参数。
PS:黑客经常很狡猾的,会将挖矿程序改成python或其他常用的程序的名字,其运行参数也可能改成其他名字,故有时较难发现某进程是否为挖矿进程。
1.3. 查看登录用户信息是否异常
使用last
或其他命令发现某用户的登录出现异常,如:
登录时间
异常(非内部人员服务器使用习惯的登录时间,比如在三更半夜时登录);登录ip
异常(非已知的内部人员所用网络设备的ip,比如外网甚至是国外的ip,比如校园网内其他非内部人员的ip)。
1.4. 查看可能异常用户是否有异常文件
若发现某用户的文件中存在一些挖矿相关配置的文件或者程序,则该用户很可能被用来进行过挖矿等异常操作。和该用户沟通确认后,对挖矿或其他异常操作的文件或程序进行删除。挖矿相关配置文件示例(黑客在root用户目录的./.cache/.x/目录的config.ini的挖矿配置信息):
PS:黑客可能比较狡猾,将进行异常操作的文件或程序命名为不容易察觉的名字或者存放到不容易发现的地方。
2. 设置SSH安全防御
配置hosts.allow和hosts.deny文件来过滤通过SSH连接服务器的ip,设置流程如下:
2.1. 配置hosts.allow
在/etc/hosts.allow
文件中添加如下内容:
sshd:192.168.1.108
sshd:192.168.2.
其中,sshd:192.168.1.108
是允许单个ip进行SSH访问,sshd:192.168.2.
是允许ip段内的所有ip进行SSH访问。
2.2. 配置hosts.deny
在/etc/hosts.deny
文件中添加如下内容:
sshd:ALL
其中,sshd:ALL
是禁止除了/etc/hosts.allow
中允许的ip之外的所有其他ip进行SSH访问(hosts.allow权限等级高于hosts.deny)。
2.3. 重启SSH服务
sudo service sshd restart
3. 验证SSH安全防御效果
查看/var/log/auth.log
或其他登录日志文件(如/var/log/auth.log.1),确定是否有/etc/hosts.allow
中允许的ip之外的ip被成功禁止了SSH访问。可用如下命令查看:
sudo cat /var/log/auth.log | grep refused
此处,公示下某个一直尝试爆破我所用服务器的校园内的ip(至今被探查到连接失败就有54555次):
54555 Apr 28 08:07:17 amax sshd[852562]: refused connect from 172.31.111.189 (172.31.111.189)
PS:若您在设置SSH安全防御之后,黑客没有再通过SSH攻击您的服务器,那可能没有被禁止访问的ip记录。此时,您可将您现有某个ip不放到/etc/hosts.allow
中,并拿其来连接您的服务器就会有其访问记录了。
服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined相关推荐
- 记服务器被黑客攻击事件(肉鸡)
2019年1月15日 早 在服务器上安装了 Redis 未设置密码 项目中配置地址后访问OK 2019年1月15日 下午 阿里客服小姐姐 发来慰问电,问我对他们的服务器是否满意,我狠狠的批评了他们,服 ...
- 进程与服务的签名_服务器被黑客攻击后如何查找溯源攻击
服务器被黑客攻击后如何查找溯源攻击 现在国内互联网环境复杂,网络攻击事件频发,大部分互联网企业都有被网络攻击的经历.当互联网公司遭到网络攻击时,直接导致在线业务瘫痪,给企业造成巨大的经济损失.小蚁安全 ...
- 韩购物网站服务器遭黑客攻击 千万用户信息被泄
据韩媒26日报道,韩国著名购物网站Interpark的服务器遭黑客攻击,1000万以上客户的个人信息被泄漏. 韩国警察厅网络安全局介绍,本月11日发现Interpark服务器于今年5月遭到黑客攻击,1 ...
- 记一次服务器被黑客攻击(暴力破解密码)的记录
文章目录 说明: 1.我是怎么发现的呐? 2.开始弥补我的过错 ①.查看阿里云 ②.重置服务器+修改密码 ③.修改安全组 3.感谢这次黑客的入侵 说明: 其实我没有想过我的服务器被黑客攻击,直到我今天 ...
- 服务器被黑客攻击,用来挖矿,怎么办?
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了. 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题.编程学习资料点击免费领取 解禁服务器 要解 ...
- 你戴佳明手表吗?服务器遭黑客攻击,全球跑友无法同步跑步数据!
"你的佳明崩了吗?佳明或许正在经历一场前所未有的危机. 大数据产业创新服务媒体 --聚焦数据 · 改变商业 数据猿消息,据美国媒体<福布斯>.美联社等媒体报道,佳明(Garmin ...
- 服务器被黑客攻击了,如何去处理?
服务器被攻击一般有两种比较常见的方式:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这种方式就是消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为 ...
- 阿里云服务器被黑客攻击:bin指令被删,ssh不能登录
这次黑客比较狠,直接说现象: 1)ls ps 等基础bin指令全部不能执行,提示不存在 2)重启之后ssh登陆不了 3)网站访问不了 解决过程: 1.ssh登陆不了,用阿里云VNC可登录,这里有点要 ...
- 微软Exchange服务器被黑客攻击以部署Cuba勒索软件
勒索软件Cuba正利用微软Exchange的漏洞进入企业网络并对设备进行加密.知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW.其 ...
最新文章
- 神策数据、阿里、华为、字节等携手推动个人信息保护工作
- QCustomplot基础应用
- 利用Quartz2D-contex绘制三角形
- linux mysql2013_linux下MySQL安装
- 响应在此上下文中不可用
- 2020-10-24 pandas导入出现错误或者警告解决方案
- hexo init报错
- 仅能帮的(非技术分享)
- 太强了 GitHub中文开源项目榜单出炉,暴露了程序员的硬性需求
- 极大似然估计法(Maximum likelihood estimation, MLE)
- Unable to load library 'xxx': Native library (linux-x86-64/xxx.so) not found in resourc 问题解决
- 还有比元宇宙更牛的商业模式吗?
- PAT Basic Level 1069 微博转发抽奖 解题思路及AC代码 v1.0
- Opencascade 帮助手册学习1 Overview
- 汽车嵌入式软件自动化测试的方法及推荐工具
- 计算机类专科学校排名,2017计算机专科学校排名一览表
- 九、Unity编辑器开发之Gizmos
- linux查询服务器品牌命令,查看linux服务器的品牌和型号
- 格子玻尔兹曼(LBM)小白的进阶之路
- ORA-28000账户被锁和解锁
热门文章
- T9键盘[用户通过数字键盘输入,手机将提供与这些数字相匹配的单词列表]
- 【进阶技术】一篇文章搞掂:RibbitMQ
- 设计测试用例的万能公式 + 6大具体方法 = 面试就像聊天?
- 递归查询三种实现方式
- 配置MacTex的Tex Live Utility
- Android apk 腾讯云-乐固的加固及签名
- 二维码与条形码的生成和识别使用
- Codeforces Round #614 (Div. 1) C.Xenon's Attack on the Gangs(树形dp)
- 推荐11个值得关注的网络安全公众号(年度精选)
- 手机端input控制键盘弹出