我的linux服务器被黑了，无从下手

fnaps

http://overflow.nease.net/aya/Linux_incident_response.sh
这个脚本有什么用？

inch

原帖由 fnaps 于 2005-12-30 23:01 发表
http://overflow.nease.net/aya/Linux_incident_response.sh
这个脚本有什么用？

是啊，我也想问下这个角本有什么用

inch

Dec 31 05:39:34 localhost sshd(pam_unix)[8992]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=211-72-82-105.hinet-ip
.hinet.net  user=root

在日志里发现这个　说明什么问题？

neoedmund

1。 重装系统
黑客一般都把系统命令都替换成黑客的程序，如ls, ps,
2。 重装后正确设置
黑完后说明你的ip已经是黑客的名单中， 一般会再次攻击你。 所以要安全的配置。

simonlm

低版本的SSH有漏洞！要安装最新版的，而且ROOT密码一定要16位以上。好多客户都是这样被黑的。

paub

用SSH最好不要用输入密码的方式登录，这样会留下很多隐患，比如你的windows终端如果中了木马，很可能把密码泄漏出去；最好的方法是使用ssh的验证码，由ssh-keygen生成rsa或dsa的公钥和私钥，公钥放在服务器上，这样就不用输入密码，通过公钥和私钥的认证就安全登录了，不过你要放好你的私钥。详细实现方法可以在google或baidu上找到

paub

说明一台远程服务器试图用root登录你的系统，但认证失败了；这很常见我维护的许多服务器的日志里有好多试图登录的记录，我写了一脚本主要用在redhat AS4上可以防非法登录胆很弱，希望高手指点:
#!/bin/bash

while [ /bin/true ]
do
HIP=`/usr/bin/tail -n 1 /var/log/secure|awk '{if($5 ~ /sshd/ && $6 == "Invalid")
print $10} {if($5 ~ /sshd/ && $6 == "Failed" && $9 == "invalid") print $13} {if
($5 ~ /sshd/ && $6 == "Failed" && $9 == "root") print $11} {if($5 ~ /sshd/ && $6
== "Did" && $9 == "identification") print $12}'|sed 's/::ffff://g'`
TIME=`/usr/bin/tail -n 1 /var/log/secure|awk '{print $3}'`
if [ "$HIP" != "" -a "$TIME" != "$TMPTIME" -a "$HIP" != "$TMPIP" ]
then
   REP=1
   TMPIP="$HIP"
   TMPTIME="$TIME"
else
   REP=0
fi

if [ $REP -eq 1 ]
then
   /sbin/iptables -I INPUT -p tcp -i eth0 -s $HIP --dport 22 -j DROP
fi
sleep 5
done

其中的eth0是网卡接口，根据你的系统而定

perryhg

web被黑，绝大多数是sql injection，linux服务器的话看看是不是ftp密码被人试探出来了，还有dns是不是被人exploit了，装个rootkit hunter，查查有没有root kit

我从日志发现现在有好程序每天自动扫描ssh端口并试探密码，如果你有一个用户是弱密码被人登录了，很可能被安装rootkit。我曾经写过一个程序，就是自动监视日志，如果发现同一个ip地址短时间内连续10次验证失败，就调用iptables彻底屏蔽这个ip，现在日志干净多了。

[ 本帖最后由 perryhg 于 2005-12-31 13:05 编辑 ]

jook999

装个RKhunter 升级到最新， 查一下漏洞先。

netyu

LINUX虽是好东东.但不能好好的操作它,一样会有机会让人家攻击的.
就算是你拿Z系列的大机来.不把它配置好也一样会出问题啊,呵呵.