1. 程式人生 > >記一次伺服器被黑經歷

記一次伺服器被黑經歷

從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer
也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更改配置檔案把max-session 調大;二則是訪問頻率太高被伺服器列入黑名單了。也跟微軟azure那邊聯絡過,一開始推測是因為接入的VPN不穩定可能會導致佔用執行緒,然而問題始終沒有得到解決。
後來偶爾一次終於登陸到伺服器,就copy了所有的log檔案讓微軟技術人員幫忙排查一下,結果發現是來自蘇州的一個ip從十月一號就開始頻繁嘗試通過root賬戶登陸伺服器,最為頻繁是一個小時嘗試登陸1300次,難怪我始終無法正常登陸了。最終確定了黑客的勝利是十一月二號早晨我嘗試登入伺服器,發現密碼錯誤了,顯示authentication failed,跟微軟那邊技術人員一討論認為十有八九是被黑了,到中午再嘗試登入的時候直接顯示port 22: connection refused,明顯sshd的config檔案已經被修改了,可以百分之百肯定伺服器被黑了。
   這次伺服器被黑事件可以總結一下,就是如果發現 connection reset by peer這樣的問題,而自己這邊既沒有太過頻繁的嘗試登陸並且知道會登陸伺服器的人不可能太多,那麼十有八九就是伺服器正在遭受暴力攻破。如果能登陸進伺服器的話最好調一下/var/log/secure檔案看一下訪問記錄,把不明的ip 在/etc/hosts.allow 進行封禁