centos VPS被入侵，我该怎么处理？

milujite

建议重装，重装后系统不必要的服务全关闭了。再增加你要的服务如httpd。建议IPTABLES开起来，放开ssh和web，剩下的做限制，如MYSQL限制只能本地访问等等，关闭PHP的一些不需要的扩展功能。

1. [root@RedHat ~]# chkconfig --list |grep 3:on
   
2. acpid                  0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
3. crond                  0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
4. irqbalance             0:off        1:off        2:off        3:on        4:on        5:on        6:off
   
5. network                0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
6. rsyslog                0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
7. sshd                   0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
8. [root@RedHat ~]# chkconfig --list |grep 5:on
   
9. acpid                  0:off        1:off        2:on        3:on        4:on        5:on        6:off
   
10. crond                  0:off        1:off        2:on        3:on        4:on        5:on        6:off
    
11. haldaemon              0:off        1:off        2:off        3:off        4:on        5:on        6:off
    
12. irqbalance             0:off        1:off        2:off        3:on        4:on        5:on        6:off
    
13. messagebus             0:off        1:off        2:on        3:off        4:on        5:on        6:off
    
14. network                0:off        1:off        2:on        3:on        4:on        5:on        6:off
    
15. rsyslog                0:off        1:off        2:on        3:on        4:on        5:on        6:off
    
16. sshd                   0:off        1:off        2:on        3:on        4:on        5:on        6:off

复制代码

ssh官网下载最新版本的ssh，重新编译覆盖系统的sshd。

1. #tar xvf openssh-5.8p2.tar.gz
   
2. #cd openssh-5.8p2
   
3. #vi version.h
   
4.      #define  SSH_VERSION  "Hello!"              --修改SSH_VERSION，迷惑攻击者
   
5.      #define SSH_PORTABLE ""
   
6. #./configure   --with-zlib --with-tcp-wrappers --with-audit=linux --with-ssl-dir   --with-pam --without-4in6 --bindir=/usr/bin --sbindir=/usr/sbin --sysconfdir=/etc/ssh
   
7. #make && make install
   
8. #vi /etc/ssh/sshd_config
   
9. #/etc/init.d/sshd restart
   
10. 注释
    
11. # GSSAPI options
    
12. #GSSAPIAuthentication no
    
13. #GSSAPICleanupCredentials yes
    
14. #X11Forwarding no
    
15. #X11DisplayOffset 10
    
16. #X11UseLocalhost yes
    
17. Protocol 2   --限制使用ssh 2协议
    
18. MaxAuthTries 3     --限制登录密码尝试次数
    
19. ClientAliveInterval 300     --限制终端超时时间为300s
    
20. PermitRootLogin no     --禁止root通过ssh登录
    

复制代码

能自己编译APACHE/MYSQL/PHP的话自己编译，去掉那些版本信息以及不需要的功能模块，因为攻击者十有八九是通过扫描软件扫到服务套件版本信息后通过已经公开的漏洞发动攻击，通过溢出等漏洞拿到root权限控制整个系统。

centos64

回复 19# pix77


    你好兄弟，请问哪里可以看出黑客把权限提到root了呢？我现在是把root的密码给改了最近几天黑客没光顾，不知道以后会怎么样。

    另外求教linux 服务器安全方面有哪些比较经典的书呢？

centos64

回复 18# lbseraph


    好的谢谢

    另外求教linux 服务器安全方面有哪些比较经典的书呢？

centos64

回复 17# chenyx


    我昨天看日志还在但是我不知道怎么查看日志，所以不确定里面的内容是否包含黑客入侵那天的记录

顺带问下什么工具查看apache日志比较好使？

chenyx

用grep过滤关键字,比如我说的那个post.然后重定向到一个文件.
linux文本处理工具非常多,你熟悉那个就用哪个.

pix77

回复 25# centos64

看看别人的例子，你就有启发了
http://www.myhack58.com/Article/html/3/8/2010/26001.htm
   

lbseraph

centos64 发表于 2013-05-31 15:45
回复 18# lbseraph

安全方面涉猎不多，找了点供你参考：
http://www.2cto.com/Article/201205/129856.html
http://download.csdn.net/detail/mx568549060/1480991
http://www.2cto.com/Article/201205/129787.html

centos64

回复 24# milujite


   感谢指点，我查了一下我服务器上的3运行级和5运行级的服务很多没有关闭，我不知道哪些应该关闭，有没有这方面的资料供参考呢

lbseraph

你要看你的环境需要什么服务，留下必须的服务，关掉其他的。别人的例子并不一定适合你的环境~