近來常被駭客入侵

大量的sshd應該是最常見的,因為同一組(同一個管理者)的伺服器,帳號密碼也沒差多少(這是我的錯),所以一台破台台被破!!

root帳號密碼被破之後,就是使用者的帳號被盜取,所以就算之後改了root號碼,他還是可以利用一般使用者登入,然後大量發信號(ssh-scan)

這一個月來被攻破9台電腦 !!讓我實在是頭大,由於本身不是學網路管理,主要是在寫程式和linux程式編譯問題如(wrf mm5 cmaq等等)的,所以網路上的攻擊,還有一些網路訊息,我實在是搞不懂 !!所以很多東西都是參考鳥哥和網路上一些大大~寫這部落格只是用來紀錄問題,並提供小建議給有相同問題的人!!

紀錄一下這些日子的對應方式

1. 更換密碼

2.重新安裝os

3.利用hosts.deny

4.使用iptables

5.利用denyhost作為防範機制作為防範機制作為防範機制

第一步:自己寫了一隻小程式會每ㄍ禮拜一換掉我的root密碼

#!/bin/bash
jd=`date +%j`
mon=`date +%m`
declare -i number=$RANDOM
echo 'random number =' $number
echo 'month = ' $mon
echo 'This passwd is for root'
password=jfsljl${number}sdfjlsdjf${mon}${jd}
echo 'The New ROOT Passwd is ='$password >&/home/username/passwd_data&
chown chishin /home/username/passwd_data
passwd <<changepwd

$password

$password

changepwd
IP_address=`/sbin/ifconfig |grep -i inet |awk -F " " '{print $2}' |head -1`
for name in emaill_address
do
mail -s "New root passwd" ${name}@gmail.com <<EOF
Change root IP_day
The new root passwd is ${password}
This computer IP is = inet ${IP_address}
EOF
done
exit

抽換掉root密碼之後,他竟然給我用super user登入,所以可以得知他已經竊取了我的密碼文件與資料,我也只能消極改密碼 。

第二步+第三步:因為有機台災情慘重,我只好重新安裝OS,安裝好OS之後,開始利用步驟1低方式,加上利用hosts.deny

hosts.deny

ALL: ALL

hosts.allow

sshd:IP_address that you have been checked.

這需要安裝yum install tcp_wrapper 使用。

第四步:利用iptables來阻止hosts.deny的漏洞

據我們網管透漏,hosts.deny並不能完全阻擋未知的某些連線,至於是哪些連線 !!他沒說,我也不知道

所以上網去利用鳥哥提供的防火牆來加強hosts.deny

主要是加了這幾條規則

iptables -P INPUT DROP

iptables -A INPUT -p TCP -i eth0 -s IP_ADDRESS_GROUP --dport 22 --sport 1024:66534 -j ACCEPT

主要是讓此網域的ip可以進入,而且只能利用sshd 22連線,不過這樣仍然有問題,因為假如網域內的電腦已經是疆屍,這根本只是關門放狗而已 ~其實hosts.deny和iptables功能有點重複,不過我已經被駭怕了管他功能同不同,開下去就對了

最後一步:我是利用denyhosts套裝軟體和/var/log/secure裡面的紀錄來擋住網域內IP

來補足IP_ADDRESS_GROUP若有殭屍可以擋住他的sshd連線 !!最後再把/var/log/secure裡面用shell script抓出有重複登入的IP來封鎖。

這套自己寫得程式太長 !!所以沒放上來 ~

不過一般來說防火牆開越多對於使用者跟管理者就越麻煩 !!不過這好像也是沒有辦法的事情 !!看看各位大大還有沒有比較好的方式可以提供給我使用

創作者介紹

廖董不懂的部落格

廖董不懂 發表在 痞客邦 留言(0) 人氣()