服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined
PS:本人非专业网络安全攻防人员,仅为个人实践经验。本文可能难免有不当之处,欢迎您的讨论和指导。此外,本文同时发布在个人GitHub Pages上了,欢迎访问和指导。
1. 确定服务器是否被黑客攻击和被挖矿
确认服务器是否出现被黑客攻击和被挖矿等异常情况的方法有:
1.1. 查看显卡使用是否异常
使用nvidia-smi
或其他命令发现显卡使用出现异常,如:
- 显卡被某用户的不明进程占用,且利用率很高甚至为100%。
1.2. 查看进程信息是否异常
使用top
或其他命令发现进程出现异常,如:
- 某用户的进程运行命令中出现了
eth
、coin
、wallet
、pool
或其他与挖矿相关的参数。
PS:黑客经常很狡猾的,会将挖矿程序改成python或其他常用的程序的名字,其运行参数也可能改成其他名字,故有时较难发现某进程是否为挖矿进程。
1.3. 查看登录用户信息是否异常
使用last
或其他命令发现某用户的登录出现异常,如:
登录时间
异常(非内部人员服务器使用习惯的登录时间,比如在三更半夜时登录);登录ip
异常(非已知的内部人员所用网络设备的ip,比如外网甚至是国外的ip,比如校园网内其他非内部人员的ip)。
1.4. 查看可能异常用户是否有异常文件
若发现某用户的文件中存在一些挖矿相关配置的文件或者程序,则该用户很可能被用来进行过挖矿等异常操作。和该用户沟通确认后,对挖矿或其他异常操作的文件或程序进行删除。挖矿相关配置文件示例(黑客在root用户目录的./.cache/.x/目录的config.ini的挖矿配置信息):
PS:黑客可能比较狡猾,将进行异常操作的文件或程序命名为不容易察觉的名字或者存放到不容易发现的地方。
2. 设置SSH安全防御
配置hosts.allow和hosts.deny文件来过滤通过SSH连接服务器的ip,设置流程如下:
2.1. 配置hosts.allow
在/etc/hosts.allow
文件中添加如下内容:
sshd:192.168.1.108
sshd:192.168.2.
其中,sshd:192.168.1.108
是允许单个ip进行SSH访问,sshd:192.168.2.
是允许ip段内的所有ip进行SSH访问。
2.2. 配置hosts.deny
在/etc/hosts.deny
文件中添加如下内容:
sshd:ALL
其中,sshd:ALL
是禁止除了/etc/hosts.allow
中允许的ip之外的所有其他ip进行SSH访问(hosts.allow权限等级高于hosts.deny)。
2.3. 重启SSH服务
sudo service sshd restart
3. 验证SSH安全防御效果
查看/var/log/auth.log
或其他登录日志文件(如/var/log/auth.log.1),确定是否有/etc/hosts.allow
中允许的ip之外的ip被成功禁止了SSH访问。可用如下命令查看:
sudo cat /var/log/auth.log | grep refused
此处,公示下某个一直尝试爆破我所用服务器的校园内的ip(至今被探查到连接失败就有54555次):
54555 Apr 28 08:07:17 amax sshd[852562]: refused connect from 172.31.111.189 (172.31.111.189)
PS:若您在设置SSH安全防御之后,黑客没有再通过SSH攻击您的服务器,那可能没有被禁止访问的ip记录。此时,您可将您现有某个ip不放到/etc/hosts.allow
中,并拿其来连接您的服务器就会有其访问记录了。
服务器被黑客攻击和被挖矿之后的SSH安全防御 | SSH security defense after server is hacked and mined相关推荐
- 记服务器被黑客攻击事件(肉鸡)
2019年1月15日 早 在服务器上安装了 Redis 未设置密码 项目中配置地址后访问OK 2019年1月15日 下午 阿里客服小姐姐 发来慰问电,问我对他们的服务器是否满意,我狠狠的批评了他们,服 ...
- 进程与服务的签名_服务器被黑客攻击后如何查找溯源攻击
服务器被黑客攻击后如何查找溯源攻击 现在国内互联网环境复杂,网络攻击事件频发,大部分互联网企业都有被网络攻击的经历.当互联网公司遭到网络攻击时,直接导致在线业务瘫痪,给企业造成巨大的经济损失.小蚁安全 ...
- 韩购物网站服务器遭黑客攻击 千万用户信息被泄
据韩媒26日报道,韩国著名购物网站Interpark的服务器遭黑客攻击,1000万以上客户的个人信息被泄漏. 韩国警察厅网络安全局介绍,本月11日发现Interpark服务器于今年5月遭到黑客攻击,1 ...
- 记一次服务器被黑客攻击(暴力破解密码)的记录
文章目录 说明: 1.我是怎么发现的呐? 2.开始弥补我的过错 ①.查看阿里云 ②.重置服务器+修改密码 ③.修改安全组 3.感谢这次黑客的入侵 说明: 其实我没有想过我的服务器被黑客攻击,直到我今天 ...
- 服务器被黑客攻击,用来挖矿,怎么办?
昨天下午一个朋友和我说,他的服务器被阿里云监测出来在挖矿,然后阿里云官方把服务器给关停了. 不用急,这个时候最简单的方法是在阿里云里提一个工单,反馈相关问题.编程学习资料点击免费领取 解禁服务器 要解 ...
- 你戴佳明手表吗?服务器遭黑客攻击,全球跑友无法同步跑步数据!
"你的佳明崩了吗?佳明或许正在经历一场前所未有的危机. 大数据产业创新服务媒体 --聚焦数据 · 改变商业 数据猿消息,据美国媒体<福布斯>.美联社等媒体报道,佳明(Garmin ...
- 服务器被黑客攻击了,如何去处理?
服务器被攻击一般有两种比较常见的方式:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这种方式就是消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为 ...
- 阿里云服务器被黑客攻击:bin指令被删,ssh不能登录
这次黑客比较狠,直接说现象: 1)ls ps 等基础bin指令全部不能执行,提示不存在 2)重启之后ssh登陆不了 3)网站访问不了 解决过程: 1.ssh登陆不了,用阿里云VNC可登录,这里有点要 ...
- 微软Exchange服务器被黑客攻击以部署Cuba勒索软件
勒索软件Cuba正利用微软Exchange的漏洞进入企业网络并对设备进行加密.知名网络安全公司Mandiant追踪到,使用该勒索软件的团伙名为UNC2596,而勒索软件本身的名字为COLDDRAW.其 ...
最新文章
- strcat()函数常见问题
- 【控制】《多智能体系统一致性与复杂网络同步控制》郭凌老师-第2章-一类多智能体系统的领导-跟随一致性
- img.width一直是0的问题--记录(二)
- 后端学习 - JavaWeb
- hash table(开放寻址法-二次探查实现的哈希表)
- LeetCode: Merge k Sorted Lists
- C++基础知识(二)—— 变量和数据类型
- 天,又有人找我帮忙!
- java 遗传算法_遗传算法的基本概念和实现(附 Java 实现案例)
- python 字符串 包含 列表_python中包含字符串列表的列
- Laravel——通过邮件找回密码
- 【零基础学Java】—LinkedList集合(四十)
- spring-第七篇之深入理解容器中的bean
- 大物实验数据处理——用C求标准误差、标准偏差、标准偏差、相对误差
- Incorrect string value: '\xE5\xA4\xA7\xE5\xB9\x85...' for column' name' at row 1的解决方法
- 闲谈绩效考核——来自项目管理群的讨论
- 软件工程作业7.8.9
- 西南科技大学计算机科学与技术学院官网,何刚(西南科技大学计算机科学与技术学院副教授)_百度百科...
- 冯东阳:解读纯文本链接到底算不算外链
- 嘀嗒出行再闯IPO:千军万马我无懈
热门文章
- JESD204B参数及时钟关系
- 输入一个数n,然后打印出2的n次方
- 3D卷积“LP-3DCNN: Unveiling Local Phase in 3D Convolutional Neural Networks”
- Python九九口诀表
- ICML 2022 重思考为图结构数据异常检测设计图神经网络 | 图数据异常节点检测 | 论文解读和代码复现
- 软件项目招投标中的“标的额”是什么意思?
- 3个技术男搞恋爱版 ChatGPT,估值70亿...
- TCP/UDP/IP/Socket的定义
- TOMCAT 中间件安全加固
- 京东平台的产品标题的优化有什么技巧?