开发者社区> 余二五> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

服务器被黑后,抓出后门账户思路

简介:
+关注继续查看

情况一:发现公司一台正式生产服务器(有公网IP)的root密码被修改,导致无法登陆服务器

    1)进入单用户模式修改root密码,服务器在身边,自己修改

    2)打电话找IDC机房管理人员修改,如果有GRUB加密,告诉相关人GRUB密码

 

情况二:如果没有改密码,只是服务器被做肉鸡,大量发外数据包

   1)last命令查看最近登录过本服务器的IP地址和时间,用IP138查询IP位置    #如阿里云主机有异地登录提醒

   2)立刻查看sshd远程连接服务的secure日志



解决方案

第一步:首先将此非法IP屏蔽,  防止在处理过程中再次破坏

  方法1:

  使用iptables防火墙

  iptables -A INPUT -s 188.173.171.146 -j DROP


  方法2:

  修改配置文件 vim /etc/hosts.deny

  ALL : 114.8.23.4



第二步:找出黑客留下的后门帐号

  方法1:

  过滤bash,查看/etc/passwd 和/etc/group 中有无多余需要登录的用户

  grep bash /etc/passwd


  方法2:查看家目录

   ls /home/


 

隐藏用户身份方法

1)隐藏家目录,指定家目录在其他目录

  useradd  -d /bin/email  email


2)隐藏bash,把改完后内容插入到passwd中间位置

  cp /bin/bash  /sbin/nologin

  vim /etc/passwd

  改:email:x:500:501::/home/email:/bin/bash

  为:email:x:43:43::/bin/email:/sbin/nologin


排查

  方法1:

  找一个好的服务器的passwd文件和被黑的服务器做比,对比两个文件是否一样

  vimdiff /etc/passwd    /opt/passwd-ok

 

  方法2:

  查看账户是否有对应的登录密码 vim /etc/shadow



隐藏用户身份方法-改进型

1)可以给系统默认的bin用户一个密码

     echo 123456 | passwd --stdin bin


2)打开了sshd允许无密码登录,比如:sync帐号

      vim /etc/ssh/sshd_config

      #65 PermitEmptyPasswords no  #是否允许以空的密码登入


3)修改passwd文件,去掉x。作用:密码占位符。去掉后,就说明这个用户没有密码

     vim /etc/passwd

     改:sync:x:5:0:sync:/sbin:/bin/sync

     为:sync::5:0:sync:/sbin:/bin/sync


排查

  方法1:

   和好服务器上的sshd_config做对比

   diff /etc/ssh/sshd_config  /opt/sshd_config-ok       

                       

  方法2:

   diff /etc/passwd  /opt/passwd

 










本文转自 huangzp168 51CTO博客,原文链接:http://blog.51cto.com/huangzp/1916033,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云ECS服务器被植入挖矿木马解决过程分享
阿里云ECS服务器是目前很多网站我们在使用的,但是如果安全做的不够好,有时候就会被植入木马,例如我们有时候会收到阿里云的短信提醒,提醒服务器存在挖矿进程,请立即处理的安全告警。 出现这种情况往往网站都无法正常的打开,卡的连服务器SSH远程连接都进不去,给我们造成了很大的影响。
9011 0
美航空管理局服务器遭黑客攻击 4.5万资料被窃
据美联社报道,美国联邦航空管理局的计算机网络近日遭黑客入侵,有4.5万名前任和现任工作人员的个人资料被窃。 据悉,黑客们上周成功侵入美联邦航空管理局的一台服务器并窃取了两份文件。其中的一份记录着该局4。
914 0
+关注
20376
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载