避免服务器成为肉鸡的应对措施

避免服务器成为肉鸡的应对措施,第1张

在公网中每时每刻都有人通过密码字典暴力破解试图登陆你的服务器,不信请看该日志文件大小du -sh `ls /var/log | grep btmp,该文件存储了ssh失败登陆的记录。文件越大/增长越快,说明你的服务器处于被别人暴力破解的危险中!为了避免这种危险,必须做好两点:

1. 修改SSH默认端口

2. 使用强口令密码,不想看胡扯的请直接跳到后面。

整个网络空间中其实存在着很多弱口令服务器,假设弱口令服务器的用户名都为root、密码都为123456、SSH登陆端口都为默认的22。我有一台服务器在不停的用密码字典登陆这些弱口令机器,成功登陆的机器作为肉鸡(傀儡)继续登陆别的机器,假设一台服务器以2台/天的速度进行登陆,那么第一天我就有三台机器(包括自己的那台),第二天就是6+3=3^2=9台,第三天就是18+9=3^3=27台,第N天就是3^N台。

看到没有,肉鸡/傀儡服务器是以指数级别在增加的!

为什么有人不停登陆别人的机器,获得肉鸡?如果我手上有来自全世界的肉鸡,并且数量很多,那玩儿法可就多了:

看不惯哪个网站?操纵这些傀儡机器不停的请求该网站,让别人没法用,服务瘫痪,这就是传说中的DDoS攻击(分布式拒绝服务攻击)。

想赚点小钱,偷偷挖矿是你不二的选择,这么多肉鸡,虽然每一台计算能力不怎么样,但是联合起来也不容小。这种肉鸡俗称挖掘鸡(笑

肉鸡做代理?这个话题我就不深说了,大陆敏感话题… …

窥探肉鸡主人数据… 满足窥探欲

这么多肉鸡代表你有这么多IP,有大量IP能干什么?这又是另外一个庞大的话题了… …

一、基础知识

/var/log/wtmp用于记录登录成功的用户的信息,是一个二进制文件,只能通过 last命令来查看

查看尝试恶意登陆的前十个IP:

查看恶意IP尝试登陆次数:

当然,如果你要清理这个日志,删除在创建之

/var/log/btmp用于记录登录失败的用户的信息,是一个二进制文件,只能通过 lastb命令来查看

/var/log/lastlog用于记录用户的 历史 登录情况,是一个二进制文件,只能通过 lastlog命令来查看

/var/run/utmp用于记录当前登录的用户的信息,是一个二进制文件,只能通过 who命令来查看

二、修改SSH默认端口

环境:CentOS 7

步骤:新增SSH端口–>>重启sshd服务–>>添加防火墙规则–>>尝试新端口登陆–>>关闭原先的22端口

1、新增SSH端口(列:1000)

vi /etc/ssh/sshd_config

# 找到Port 22这行,将前面的注释去掉,再加一行Port 1000,如下,这样做的目的是防止新端口登陆不上,老端口也不能用!

2、重启sshd服务

如果是CentOS 7使用systemctl restart sshd,查看端口是否生效可以用systemctl status sshd

如果是CentOS 7以前的系统,使用/etc/init.d/sshd restart或者service sshd restart

重启以后可以本地测试一下端口通没通,telnet 127.0.0.1 1000

3、添加防火墙规则

如果是iptables防火墙,执行下面命令添加规则

# iptables配置文件位置/etc/sysconfig/iptables

# 添加1000端口规则

# 保存规则

# 重启服务

如果防火墙是Firewall,参照下面步骤:

# 首先检测防火墙是否已经启用,启用返回值runing,反之,为not running

#若没有启用,需要启用

# 若已经启用,则进行下一步

# 查看防火墙的默认、活跃区域(zones)

#看两条命令的返回值是否含有public,有则为正确。

# 端口永久开放

# 为了防止出错,22端口一同开放

# 与临时开放的区别在于多了permanent

# 防火墙重载

# 查看已暴露端口

4、尝试新端口登陆

尝试用1000端口进行登陆,看是否成功!

5、关闭原先的22端口

参考上面的操作,首先在ssh的配置文件去掉22端口,重启sshd服务,然后在防火墙配置里面去除22端口,重启防火墙!这里不再赘述。

6、修改弱口令为强口令

# 输入修改密码命令

#此时系统提示

# 输入两次密码并回车,注意输入密码时不会显示的

7、推荐:

shell随机密码生成函数:

# 生成随机密码 ($1 位数)

8、扩展

虽然上面修改端口和口令能够大大提升安全性,但是在某些情况下不能修改端口或口令,此时可以推荐 DenyHosts或者fail2ban,它可以禁止大量尝试登陆的IP。或者可以用最简单的办法,查看尝试恶意登陆的前十个IP然后用防火墙禁止它,这里只提供思路。

鸡是大家喜欢吃的食物,不过电脑肉鸡虽然也是鸡和传统的鸡不太一样,其实这是一种特别的电脑病毒,下面一起了解下这种病毒。

电脑肉鸡什么意思

电脑肉鸡是一种特别的病毒,假如电脑不小心感染的话就不由自主被其他人控制,你的电脑什么秘密之类都会被发现,人们想怎么弄就怎么弄丝毫没影响。

电脑肉鸡就是电脑被远程控制,肉鸡没有固定的系统,很多windows,linux等都可以是,一些公司企业的服务器也可以是,一般来说肉鸡都是开了3389端口的Win2000、win2003等等服务器或者说是电脑,所以这个端口假如不用的话直接关闭。

哪些现象可以证明电脑成为肉鸡

1、QQ、MSN的异常登录提醒

假如说在登录QQ、MSN等聊天工具的时候,会发现一些奇怪的情况。比如说上一次有奇怪的IP登录,或者有朋友说你上次发了什么奇怪的东西。

2、游戏装备丢失

玩游戏的时候发现自己的装备丢失了,甚至于密码被更改导致正确密码无法登录上去。

3、鼠标乱动

很多人发现鼠标不听使唤随便乱动,这不一定是鼠标出了问题,可能是有其他人在动鼠标。

怎样增加电脑的安全性

在电脑账户安全功能上,可以更改名称密码,最好为了安全起见将其设置上,避免黑客入侵电脑。

将没用的端口关闭,可以对电脑各大端口观察一番,假如有没用的端口就统统关掉,避免黑客利用端口进行某些勾当。

另外电脑漏洞也要及时修复,避免系统本身的漏洞危害了电脑的安全性能。假如可以的话,找一个厉害的电脑大师,将电脑整体检查一般,该加固的加固,该修复的修复,这样使用起来更加快捷,同时使用感也会更好一些。

以下内容是针对新手来操作的,可以解决90%以上的被入侵的情况,如果还是不行,那你只能找像我们一样专业的人士来解决了。

如果被当成肉机,那么两种可能性:被植入网马或rootkit。

1、网马的话,最彻底的,就是进行文件的排查,即对所有目标做一下列表,再和原式程序比较一下是否多出了一些文件php,jsp,asa,asp文件,然后删除掉。

2、rootkit的,可以通过使用XueTr查看一下是否有多余的进程,连接,把它们去掉。(这是你的服务器,所以建立你初次建立的时候把系统存在的进程列表,做一下记录,用于对比。)

服务器还是得需要自己重视下安全,你检查下网站有没有漏洞,服务器上是否存在黑客遗留的后门程序,建议找专业做安全的人员来处理。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/354068.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-05-09
下一篇2023-05-09

发表评论

登录后才能评论

评论列表(0条)

    保存