從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer
也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更改配置檔案把max-session 調大;二則是訪問頻率太高被伺服器列入黑名單了。也跟微軟azure那邊聯絡過,一開始推測是因為接入的vpn不穩定可能會導致占用執行緒,然而問題始終沒有得到解決。
後來偶爾一次終於登陸到伺服器,就copy了所有的log檔案讓微軟技術人員幫忙排查一下,結果發現是來自蘇州的乙個ip從十月一號就開始頻繁嘗試通過root賬戶登陸伺服器,最為頻繁是乙個小時嘗試登陸1300次,難怪我始終無法正常登陸了。最終確定了黑客的勝利是十一月二號早晨我嘗試登入伺服器,發現密碼錯誤了,顯示authentication failed,跟微軟那邊技術人員一討論認為十有**是被黑了,到中午再嘗試登入的時候直接顯示port 22: connection refused,明顯sshd的config檔案已經被修改了,可以百分之百肯定伺服器被黑了。
這次伺服器被黑事件可以總結一下,就是如果發現 connection reset by peer這樣的問題,而自己這邊既沒有太過頻繁的嘗試登陸並且知道會登陸伺服器的人不可能太多,那麼十有**就是伺服器正在遭受暴力攻破。如果能登陸進伺服器的話最好調一下/var/log/secure檔案看一下訪問記錄,把不明的ip 在/etc/hosts.allow 進行封禁
後續:微軟技術人員後來又發現提醒伺服器應該是遭受了ddos攻擊,簡單來說就是通過大量的訪問占用伺服器資源導致真正使用者無法正常工作。由於伺服器跟公司內網連線,黑客還有可能會攻擊整個公司的內網,所以立刻匯報上級讓他們刪掉了虛擬機器。總的來說從確認被攻擊到被攻陷這段時間還是感覺很緊張刺激的,也可能我是個肉雞沒見過大世面。另一方面我對黑客行為真是有點感興趣,有精力的話想好好學一些網路安全方面的知識,有機會的話成為黑客或者成為乙個反黑客。
記一次伺服器被攻擊的處理
今天早上上班看了一下京東雲的控制台,發現有一系列被攻擊的記錄。如下圖 如圖所示,被攻擊的埠是xshell遠端訪問的預設埠號22和mysql的預設埠號3306,明顯是ip被公開後的暴力破解,一旦被破解後果則不堪設想了。於是,馬上改預設的埠號。第一步,改ssh埠號 找到ssh服務配置檔案路徑一般都是在 ...
記一次伺服器被挖礦程式攻擊解決
這兩天先後收到阿里雲的兩條簡訊,一次提示有挖礦程式 一次提示伺服器上的crontab被改了。中間隔了1天。剛開始我還沒有引起注意,看到有挖礦程式的時候,用top檢視到有mined的程序,就直接kill掉了,後來又遇到的時候,發現不對啊,有兩個特別佔cpu的程序,分別是qw3xt.2和ddgs.301...
記一次伺服器被惡意攻擊的情況
今天上午,我正在維護一台linux伺服器,使用vnc viewer遠端桌面,突然看見桌面上乙個控制台在自動換行,剛開始我還以為是眼花了,本來想繼續幹活,可是還沒等滑鼠點下去,又被開啟乙個控制台,繼續輸入命令,主要輸入的命令如下圖 自從看見自動輸入命令的控制台,大約持續了十幾分鐘,期間還出現了對話部分...