服務器概況
系統版本:ubuntu14.04 LTS
內核版本:3.0.14-generic
被黑症狀:dos攻擊其他主機
結果:收到網絡中心郵件,校園網賬號被警告
發現日期:2015-8-25
當日ssh登陸此服務器,並在3s內斷開鏈接,提示
之前學長們也有遇到過,當時重啓搞定了。也有lan連接導致wan斷開的情況。
有兩個來自hongkong和一個Beijing的IP嘗試連接到這臺服務器。
以下只截取了2個
顯然這個已經知道root密碼了。
這個估計想進內網,在查看路由
服務器連上網後,有進程佔用CPU非常嚴重,比如下面這個
雙路共8核服務器 時常滿載。上行11Mbps,應證了這服務器已經成了dos攻擊的bot。
嘗試擺脫控制
殺掉進程
直接kill pid,可以看到上行瞬間降到0,CPU佔用恢復到正常值,但是隨後連接再次established,上行又變回11Mbps。雖然此法行不通,但是證明了,確實是這個連接在搗鬼。ufw
ubuntu內置的防火牆,用法
ufw deny allow/deny/reject from addr
但是沒有阻止59那個ip的連接iptables
這個東西屬於一個模塊,如果之前沒有用過,就要通過
modprobe ip_tables加載這個模塊,網上所說的那些service iptables,我這邊提示unrecognized service
加載後就可以開始添加規則了,我這邊用了下面這個模板
iptables -I INPUT -s sourceIP -j DROP
用來drop來自那三個IP的連接。
這個方法成功阻止了這三個IP的連接,上行恢復正常,但是SSH的問題依舊。
問題分析
SSH
SSH登陸掉線的問題,學長那邊查到的說法是,兩塊網卡,網關衝突,我這邊查到的是內核bug或者驅動沒裝好。晚上我和QT開發羣裏的羣友討論,有人說如果沒有配好路由,會有問題,所以我又去學習了下路由表的知識,後面修改好了之後再加到博客裏來。安全意識缺失
首先不談iptables沒有開啓,(他們可能之前開過,影響了測試,就關了),root密碼離譜的簡單123456,而且服務器直接暴露在公網裏,不被黑都難。
補救
SSH重裝
既然SSH出問題,就重裝SSH試試,總比換網卡簡單。權限配置
1、關閉root遠程登陸權限。
2、設置遠程賬戶,開證書認證,而不是直接遠程root登陸。登陸成功之後在su user 切換到root用戶。
3、設置重試次數,防止暴力破解。iptables配置
如果沒有交換機直接構建內網,只能放到公網裏,更保險的方法是,配置完編譯環境後,指定IP才能連接到服務器(accept),其餘的全部drop。