1. 程式人生 > >記一次伺服器被攻擊經歷

記一次伺服器被攻擊經歷

    從接手公司伺服器兩個半星期經常性的無法正常ssh登陸,十次裡面有九次半都是顯示 ssh_exchange_identification:read:connection reset by peer
    也谷歌很多種原因和解決方案,無非是分兩種:一是執行緒滿了,需要更改配置檔案把max-session 調大;二則是訪問頻率太高被伺服器列入黑名單了。也跟微軟azure那邊聯絡過,一開始推測是因為接入的VPN不穩定可能會導致佔用執行緒,然而問題始終沒有得到解決。
    後來偶爾一次終於登陸到伺服器,就copy了所有的log檔案讓微軟技術人員幫忙排查一下,結果發現是來自蘇州的一個ip從十月一號就開始頻繁嘗試通過root賬戶登陸伺服器,最為頻繁是一個小時嘗試登陸1300次,難怪我始終無法正常登陸了。最終確定了黑客的勝利是十一月二號早晨我嘗試登入伺服器,發現密碼錯誤了,顯示authentication failed,跟微軟那邊技術人員一討論認為十有八九是被黑了,到中午再嘗試登入的時候直接顯示port 22: connection refused,明顯sshd的config檔案已經被修改了,可以百分之百肯定伺服器被黑了。
       這次伺服器被黑事件可以總結一下,就是如果發現 connection reset by peer這樣的問題,而自己這邊既沒有太過頻繁的嘗試登陸並且知道會登陸伺服器的人不可能太多,那麼十有八九就是伺服器正在遭受暴力攻破。如果能登陸進伺服器的話最好調一下/var/log/secure檔案看一下訪問記錄,把不明的ip 在/etc/hosts.allow 進行封禁
 

後續:微軟技術人員後來又發現提醒伺服器應該是遭受了DDOS攻擊,簡單來說就是通過大量的訪問佔用伺服器資源導致真正使用者無法正常工作。由於伺服器跟公司內網連線,黑客還有可能會攻擊整個公司的內網,所以立刻彙報上級讓他們刪掉了虛擬機器。總的來說從確認被攻擊到被攻陷這段時間還是感覺很緊張刺激的,也可能我是個肉雞沒見過大世面。另一方面我對黑客行為真是有點感興趣,有精力的話想好好學一些網路安全方面的知識,有機會的話成為黑客或者成為一個反黑客。