实验室ubuntu服务器被黑

最新推荐文章于 2023-04-24 18:22:14 发布
原创 最新推荐文章于 2023-04-24 18:22:14 发布 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu #dos

服务器概况

系统版本:ubuntu14.04 LTS
内核版本:3.0.14-generic

被黑症状:dos攻击其他主机
结果:收到网络中心邮件,校园网账号被警告
发现日期:2015-8-25

当日ssh登陆此服务器,并在3s内断开链接,提示
这里写图片描述
之前学长们也有遇到过,当时重启搞定了。也有lan连接导致wan断开的情况。

有两个来自hongkong和一个Beijing的IP尝试连接到这台服务器。
以下只截取了2个
这里写图片描述
显然这个已经知道root密码了。
这里写图片描述
这个估计想进内网,在查看路由

服务器连上网后,有进程占用CPU非常严重,比如下面这个
这里写图片描述
双路共8核服务器 时常满载。上行11Mbps,应证了这服务器已经成了dos攻击的bot。

尝试摆脱控制

  1. 杀掉进程
    直接kill pid,可以看到上行瞬间降到0,CPU占用恢复到正常值,但是随后连接再次established,上行又变回11Mbps。虽然此法行不通,但是证明了,确实是这个连接在捣鬼。

  2. ufw
    ubuntu内置的防火墙,用法
    ufw deny allow/deny/reject from addr
    但是没有阻止59那个ip的连接

  3. iptables
    这个东西属于一个模块,如果之前没有用过,就要通过

                modprobe ip_tables
加载这个模块,网上所说的那些service iptables,我这边提示unrecognized service
加载后就可以开始添加规则了,我这边用了下面这个模板

            iptables -I INPUT -s sourceIP -j DROP

这里写图片描述
用来drop来自那三个IP的连接。
这个方法成功阻止了这三个IP的连接,上行恢复正常,但是SSH的问题依旧。

问题分析

  1. SSH
    SSH登陆掉线的问题,学长那边查到的说法是,两块网卡,网关冲突,我这边查到的是内核bug或者驱动没装好。晚上我和QT开发群里的群友讨论,有人说如果没有配好路由,会有问题,所以我又去学习了下路由表的知识,后面修改好了之后再加到博客里来。

  2. 安全意识缺失
    首先不谈iptables没有开启,(他们可能之前开过,影响了测试,就关了),root密码离谱的简单123456,而且服务器直接暴露在公网里,不被黑都难。

补救

  1. SSH重装
    既然SSH出问题,就重装SSH试试,总比换网卡简单。

  2. 权限配置
    1、关闭root远程登陆权限。
    2、设置远程账户,开证书认证,而不是直接远程root登陆。登陆成功之后在su user 切换到root用户。
    3、设置重试次数,防止暴力破解。

  3. iptables配置
    如果没有交换机直接构建内网,只能放到公网里,更保险的方法是,配置完编译环境后,指定IP才能连接到服务器(accept),其余的全部drop。

解决服务器上不了网的问题
qq_40907977的博客
11-29 497
实战: 1、Linux网络相关的基本命令 2、解决服务器上不了网的问题 现在情况: 能ping通网关,但是上不网,DNS配置正常 了解网络情况基本思路。 0、查看网线,是否正常 1、IP ping 2、网关 IP 3、DNS 4、iptables规则 5、selinux 6、网关MAC。目的: 防止别冒冲网关。 ARP欺骗 7、IP地址冲突 现在在正常环境下进行测试: 63 ~]# ping g.cn PING g.cn (203.208.49.176) 56(84) bytes of data
记一次Ubuntu服务器经历
01-10
起因 最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!! 寻找线索 一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了! 寻找可疑进程 ps -ef 然而结果看起来一点头绪都没,非常不熟悉Linux底下常见的进程! 寻找相关的Log线索 Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有破解了账号入侵了服务器 cat /var/log/faillog –登陆失败日
机房Ubuntu服务器,修改root密码后显示baga parola negrule
weixin_42866551的博客
02-15 534
机房Ubuntu服务器,修改root密码后显示baga parola negrule服务器重置root密码显示baga parola negrule 服务器 寒假登录机房服务器发现用户密码错误,登录远程界面查看发现账户多了一个salad,同时root密码也错误,我第一次感受到了客的不友好,shift! 重置root密码 服务器版本为Ubuntu20.04,操作按照网上教程(https://blog.youkuaiyun.com/qq_44721831/article/details/122182958)
Ubuntu官网论坛再次被,又是SQL注入惹的祸
曲终人散
07-19 503
近日Ubuntu官方论坛被,泄露了超过200万数据,本次泄露的用户数据包括IP地址、用户名和电子邮件地址。据官方透露,这是因为论坛系统补丁的缺失,才导致了用户数据的泄露。 但是大家需要知道,本次攻击事件并不会影响Ubuntu操作系统,也不是由于操作系统的漏洞引起的。据最初报道的BetaNews所述,这次数据泄露只影响了Ubuntu官网的“操作系统论坛”。 Canonical公司的CE
ubuntu linux系统记录
full_adder的博客
08-17 1129
一种植物,这孙子还把爷爷在跑的项目删了。 本博客始于某日,很突然啊,服务器就登不上了,在跑的程序也被kill了,每个用户密码都不对,因此做了一些尝试。 更改密码 查看日志
Ubuntu服务器经历(ElastichSearch漏洞)
weixin_30652271的博客
11-15 196
起因 最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了好几天,开始并没有关注,然后连续几天后发现应该是个大问题啊。很可能服务被侵入了!!! 寻找线索 一开始我是完全懵逼的状态的,Linux不是很熟悉,只会简单的命令,安装部署redis,mongo这些东西。好吧,只能百度Google了! 寻找可疑进程 ps -ef 然而结果看起来一点头绪都没,非常不熟悉Linux底下常见的进程...
ubuntu服务器管理
weixin_42258492的博客
12-30 1312
查看当前所有的用户cat /etc/passwd 查看当前用户的磁盘限制: edquota username 退出edquota : ctrl + z 把lyb的磁盘配置内容复制给ly : edquota -p lyb -u ly 创建用户:useradd -r -m -s /bin/bash username [必须用这种方式创建,带上参数] 修改密码: passwd 删除用户等问题 查看所有进程 ps -aux , 如果用户有进程则不能立即删除,需要先删掉用户进程 kill .
Linux/Ubuntu 实验室服务器非root用户切换cuda版本
qq_39413850的博客
03-24 1475
1. 实验室Linux/Ubuntu系统服务器中安装了多个版本的CUDA版本,想要切换CUDA版本,但是没有root权限,也没有安装驱动的权限。 2. 需要切换到CUDA10.0
ubuntu 搭建实验室使用服务器
qq_23077661的博客
07-24 9486
这两天导师给配了一个有4个20180tiGPU的服务器(得瑟一下),但是吧,他把搭建服务器的任务交给了我,需求就是可以多使用服务器,互不影响,互相独立。第一次搭建一个服务器,有点慌。 因为是新电脑,所以需要重装系统,这是师兄给装好的(因为我不会),linux系统装的是ubuntu 18.04。 安装完系统之后,就要开始搭服务器了。 首先,需要用你的管理员身份安装cuda,cudnn和ssh...
第一次连接实验室Ubuntu系统服务器 开荒
最新发布
05-29
### 首次连接到实验室Ubuntu 服务器并进行初始化配置 #### 1. 确保 SSH 服务已启用 在首次连接到实验室Ubuntu 服务器之前,需要确认服务器上的 SSH 服务已经启动。可以通过以下命令检查 SSH 服务的状态: ```...
实验室服务器共用账号,搭建多共用的GPU服务器
weixin_31899339的博客
07-29 4214
背景目前实验室GPU使用状况是:大部分同窗的配有单台1080/TITAN Xp。后来购入了两台4卡的机器,老师的意思是但愿能够做为服务器使用,可以多同时使用,互不影响。因而便开始了本次折腾,记录采坑经历。html经过本文,多卡读者能够实现分配每块GPU给特定同窗使用,也能够多共用多块GPU。单卡读者能够实现多共用一块GPU。linux需求说需求以前先来列一下机器配置:webCPU: i7-6...
Ubuntu(Linux系统)安装Vulhub靶场——Weblogic
edsion4的博客
12-04 711
Ubuntu(Linux系统)安装Vulhub靶场——Weblogic
原来Ubuntu也会
05-26 222
折腾了一天的ubuntu在安装了google earth之后,竟然屏啦! 靠! 感觉界面挺花的,就是自己DIY太累啦!安装个软件,需要这依赖,那依赖的! 还是WIN方便啊! 呵呵 [ 本帖最后由 yuwan 于 2008...
一个被机器的修补过程
每天记录点滴,日后总有收获。
12-20 1100
在网上看到了,感觉写得不错,记下来,以便以后出问题可以照这个来弄一下,呵呵,学习中。 ubuntu的机器被了~ 今早到学校,打开ubuntu机器,发现桌面是空的.我记得很清楚前一天走的时候还在写程序,打开了很多窗口,怎么窗口自动关闭了呢?马上打开用户管理,发现多了一个nobody5的帐户.在application里也多了一个zenmap的扫描器.一部小心我成了别肉鸡和跳板,
ubuntu 服务器安全加固的20条方案
All of my life is programming!
04-24 4468
Linux ubuntu 服务器安全加固的 20 条方案。可以简单有效的提升服务器的安全级别。
安装ubuntu屏三种解决办法
热门推荐
01-19 16万+
我电脑显卡是Nvidia显卡~ 重启之后屏幕显示“输入不支持”,这是因为ubuntu对显卡的支持有关,需要手动添加显卡选项:nomodeset,使其支持Nvidia系列显卡   方法一 进入安装时,光标移动到"install ubuntu",按"e"进入编辑模式,进入命令行模式,找到''quite splash''然后去掉"--"后,添加“nomodeset”(依照不同显卡进行不同显卡...
Linux安全问题之防客入侵
谢彬の优快云专栏
04-09 3406
用于入侵检测日志 需要检查的系统日志文件主要包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时要特别注意时间记载分析日志产生的时间是否合理。 可疑的日志记录 非正常时间凌晨的用户登录; 关键日志记录损坏尤其是记录用户登录登出信息的wtmp文件; 非正常IP的用户登录; 用户登录失败甚至一再尝试登录并失败的日志记录; 非正常的超
服务器加固丨Linux提权的4种方式,你知道几个?
Anprou的博客
11-29 2272
Linux提权的4种方式,你知道几个?
Linux-----Ubuntu通过shell脚本将SSH多次登录失败的IP自动加入名单
11-23 6514
一:与登录相关文件介绍 ubuntu三个文件日志介绍: 1:/var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记录系统启动时间; 2:/var/log/wtmp:记录当前正在登录和历史登录系统的用户信息,默认由last命令查看; 3:/var/log/btmp:记录失败的登录尝试信息,默认由lastb命令查看。 ubuntu查看失败登录记录,只需要 sudo lastb #或者 sudo lastb -n 30 #查看最新前30条 二:查看失败
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值