centos 系统服务器被黑客攻击怎么办?

左手的ㄟ右手 2023-07-11 12:46 105阅读 0赞

1.先把sshd登录这块给他搞定

#!/bin/bash
    rm -rf /home/shell/ip_list
     cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list
    #cat /var/log/secure | grep "Invalid user" | awk '{print$(NF-2)}' | sort | uniq -c > /home/shell/ip_list
    # cat /var/log/secure | grep "Received disconnect from " | awk '{print$(NF-4)}' | awk -F: '{print$1}' | sort | uniq -c >> /home/shell/ip_list
    DEFINE=20
    cat /home/shell/ip_list | while read line
    do
        IP=`echo $line | awk '{print$2}'`
        NUM=`echo $line | awk '{print$1}'`
        if [ $NUM -gt $DEFINE ];    then
            grep $IP /etc/hosts.deny > /dev/null 2>&1
            if [ $? -gt 0 ]; then
                echo "sshd:$IP:deny # ="`date +%s` >> /etc/hosts.deny
            fi
        fi
    done
    
    #封禁段时间的IP进行解封，如果解封时间小于日志文件生成周期，会出现重复封禁、解封情况。特别是有的系统不会按指定时间重新生成secure日志文件。暂未解决重复封禁IP问题
    rm -rf /home/shell/list /home/shell/list1     #删除临时文件，如果有的话
    TIMES=`date +%s`    #记录当前系统时间，用于跟已经封禁的IP进行对比
    cat /etc/hosts.deny | grep "sshd" > /home/shell/list   #检查/etc/hosts.deny文件中是否有已经封禁的IP，如果有，则写入/home/shell/list文件，以供后面筛选
    if [ $? -eq 0 ]     #如果上一条命令执行成功（即有被封禁IP），则执行后面的操作
    then
        cat /etc/hosts.deny | awk -F'=' '{print$2}' | sed '/^$/d' > /home/shell/list1  #将所有已经封禁的IP信息进行过滤，过滤出时间信息，写入/home/shell/list1文件
        cat /home/shell/list1 | while read line    #通过while循环，依次读取时间信息
        do
            DATES=$[ TIMES-line ]           #将当前时间跟IP封禁时间进行运算
            if [ $DATES -ge 604800 ]            #如果封禁IP时间大于指定时间（这里是7天转换后的秒数），则继续执行后面的操作
            then
                lines=` head -n 1 /home/shell/list `   #将符合解封时间的信息写入变量，方便后面删除
                # sed -i '/'"$line"'/d' /home/shell/list1   #删除时间信息临时文件，这条可要可不要，因为前面是通过while 循环依次读取，不会重复读取第一行
                sed -i '/'"$lines"'/d' /etc/hosts.deny /home/shell/list    #删除符合解封的IP记录。
            fi
        done
    else    #如果检查/etc/hosts.deny文件中没有被封禁的关于SSHD登录IP，则直接执行下面的命令（即退出脚本）。
        echo '没有需要解封的IP'
        exit 0
    fi

1.1 crontab -e 添加到任务跑着。每2分钟跑一次  \*/2 \* \* \* \* /bin/bash /你的shell位置

2.检查/var/log目录下的secure（CentOS），如果存在大量异常IP高频率尝试登录，且有成功登录记录（重点查找事发时间段），在线上查询该登录IP信息，如果为恶意IP且与用户常用IP无关，则很有可能为用户弱口令被成功爆破。

/var/log/其他日志说明：

/var/log/message  一般信息和系统信息  
    /var/log/secure  登陆信息  
    /var/log/maillog  mail记录  
    /var/log/utmp  
    /var/log/wtmp登陆记录信息（last命令即读取此日志）  
3、输入查看最近登录命令：

last

lastb