廖董不懂的部落格

近來常被駭客入侵

大量的sshd應該是最常見的，因為同一組（同一個管理者）的伺服器，帳號密碼也沒差多少（這是我的錯），所以一台破台台被破！！

root帳號密碼被破之後，就是使用者的帳號被盜取，所以就算之後改了root號碼，他還是可以利用一般使用者登入，然後大量發信號（ssh-scan)

這一個月來被攻破9台電腦 ！！讓我實在是頭大，由於本身不是學網路管理，主要是在寫程式和linux程式編譯問題如（wrf mm5 cmaq等等)的，所以網路上的攻擊，還有一些網路訊息，我實在是搞不懂 ！！所以很多東西都是參考鳥哥和網路上一些大大～寫這部落格只是用來紀錄問題，並提供小建議給有相同問題的人！！

紀錄一下這些日子的對應方式

1. 更換密碼

2.重新安裝os

3.利用hosts.deny

4.使用iptables

5.利用denyhost作為防範機制作為防範機制作為防範機制

第一步：自己寫了一隻小程式會每ㄍ禮拜一換掉我的root密碼

#!/bin/bash
jd=`date +%j`
mon=`date +%m`
declare -i number=$RANDOM
echo 'random number =' $number
echo 'month = ' $mon
echo 'This passwd is for root'
password=jfsljl${number}sdfjlsdjf${mon}${jd}
echo 'The New ROOT Passwd is ='$password >&/home/username/passwd_data&
chown chishin /home/username/passwd_data
passwd <<changepwd

$password

$password

changepwd
IP_address=`/sbin/ifconfig |grep -i inet |awk -F " " '{print $2}' |head -1`
for name in emaill_address
do
mail -s "New root passwd" ${name}@gmail.com <<EOF
Change root IP_day
The new root passwd is ${password}
This computer IP is = inet ${IP_address}
EOF
done
exit

抽換掉root密碼之後，他竟然給我用super user登入，所以可以得知他已經竊取了我的密碼文件與資料，我也只能消極改密碼 。

第二步+第三步：因為有機台災情慘重，我只好重新安裝OS，安裝好OS之後，開始利用步驟1低方式，加上利用hosts.deny

hosts.deny

ALL: ALL

hosts.allow

sshd:IP_address that you have been checked.

這需要安裝yum install tcp_wrapper 使用。

第四步：利用iptables來阻止hosts.deny的漏洞

據我們網管透漏，hosts.deny並不能完全阻擋未知的某些連線，至於是哪些連線 ！！他沒說，我也不知道

所以上網去利用鳥哥提供的防火牆來加強hosts.deny

主要是加了這幾條規則

iptables -P INPUT DROP

iptables -A INPUT -p TCP -i eth0 -s IP_ADDRESS_GROUP --dport 22 --sport 1024:66534 -j ACCEPT

主要是讓此網域的ip可以進入，而且只能利用sshd 22連線，不過這樣仍然有問題，因為假如網域內的電腦已經是疆屍，這根本只是關門放狗而已 ～其實hosts.deny和iptables功能有點重複，不過我已經被駭怕了管他功能同不同，開下去就對了

最後一步：我是利用denyhosts套裝軟體和/var/log/secure裡面的紀錄來擋住網域內IP

來補足IP_ADDRESS_GROUP若有殭屍可以擋住他的sshd連線 ！！最後再把/var/log/secure裡面用shell script抓出有重複登入的IP來封鎖。

這套自己寫得程式太長 ！！所以沒放上來 ～

不過一般來說防火牆開越多對於使用者跟管理者就越麻煩 ！！不過這好像也是沒有辦法的事情 ！！看看各位大大還有沒有比較好的方式可以提供給我使用