Linux(centos7)常见安全、挖矿题目
一、安全设置1.ssh修改默认端口号
修改ssh端口号需要关闭SELinux,不然无法绑定端口
1.1关闭SELinux 永久关闭方法
修改vim /etc/selinux/config文件中设置
SELINUX=disabled
重启服务器后见效。
1.2修改ssh设置文件
https://i-blog.csdnimg.cn/blog_migrate/65daa61b9b7b575bf172d95900d118a2.png
先添加一个端口号,确定能访问后,在注释掉22端口即可。其他暂时不用修改。
2.修改禁止root远程登录
注:禁用本地root用户之前,一定要先确保有一个具有root权限的其他账户,测试登录没题目后再操作禁用本地root用户。
1.新建一个用户dongdao
useradd dongdao
2.设置帐户test暗码
passwd dongdao
这里输入用户名dongdao的暗码
3.加入sudo的设置文件里
visudo
增加如下设置
https://i-blog.csdnimg.cn/blog_migrate/9419806fdaafc6ab80023d4a7870ea41.png
生存退出即可,测试test用户登录就修改操作正常。
3. 禁止root远程登陆
vim /etc/ssh/sshd_config
找到 # PermitRootLogin yes
改为 PermitRootLogin no
重启sshd
二、挖矿病毒处理惩罚
1. 处理惩罚影藏高占用CPU进程
Top命令发现cpu占用很高,但进程里面没有发现题目。
可以安装htop 查看,(yum install htop)
先通过lastb -100 命令查看登录日记前100条,会发现许多异常登录信息,
查看异常自启使命crontab -l
编辑自启使命,crontab -e 删除不必要的自启使命
可以根据自启使命发现异常文件所在目录,删除文件,重启体系后
Top命令发现正常
2. 挖矿病毒(kdevtmpfsi)
挖矿病毒表现,cup占用非常高,
https://i-blog.csdnimg.cn/blog_migrate/58902604b69c93d0834bf7c3d23bfeb1.png
3、病毒处理惩罚(kinsing ,kdevtmpfsi)
找到相关进程
ps -aux | grep kinsing
ps -aux | grep kdevtmpfsi
https://i-blog.csdnimg.cn/blog_migrate/55f5ea0dfcc9ee3046a68e6cc6609d4d.png
通过kill -9 强制杀掉
删除掉kdevtmpfsi的相关文件
cd /tmp
ls
rm -rf kdevtmpfsi
https://i-blog.csdnimg.cn/blog_migrate/4a0ac4fa17d18ab66855ce05632269b2.png
发现文件属性已修改,不允许删除
当前使用的root用户,所以不存在权限题目,直接查看文件的属性
lsattr
https://i-blog.csdnimg.cn/blog_migrate/eb13d7711c2e4c379c29010fab7bd3f8.png
看到文件有一个i的属性,i属性为设定文件不能被删除、改名、设定链接关系,同时不能写入或新增内容。修改这个属性,就可以将文件删除
chattr -i kdevtmpfsi
又出现题目chattr无法修改文件属性
https://i-blog.csdnimg.cn/blog_migrate/afd0d60f779bbfe9e0e6d515aa0be492.png
解决如下:
cd 进入目录
/usr/bin
实行如下操作
ls -lh chattr;lsattr chattr
cp chattr chattr.new
chmod a+x chattr.new
chattr.new -i chattr
rm -f chattr.new
chmod a+x chattr
ls -lh chattr;lsattr chattr
https://i-blog.csdnimg.cn/blog_migrate/f7b164dfecb28b906bc814e662cd9d0a.png
在重新修改kdevtmpfsi文件属性
https://i-blog.csdnimg.cn/blog_migrate/0d41c3a930e7f5957cdef94306ae0f70.png
修改成功后,实行删除命令
https://i-blog.csdnimg.cn/blog_migrate/6aaab6089299f7718a9947e7fd9f5a3a.png
删除成功。
rm -rf /var/tmp/kinsing (此处没有kinsing文件,暂无教程)
末了自己可以再查抄一下是否还有kdevtmpfsi的相关文件,有的话就继续删除
find / -name kdevtmpfsi
find / -name kinsing
https://i-blog.csdnimg.cn/blog_migrate/2e41c88b62ce870901b8da861ec8eafc.png
注意:
1.挖矿病毒是通过redis端口6379链接服务器,故假如在不必要的环境下,禁止暴露在公网,6379如需暴露需要设置强有力的账号和暗码。
2.将病毒文件里面涉及到的ip,在centos上禁止访问。(下面防火墙部分有说明)
4. 防火墙操作
生产环境,禁止关闭防火墙
#查看firewall状态,LINUX7默认是安装并开启的;
firewall-cmd --state
#安装
yum install firewalld
#启动,
systemctl start firewalld
#设置开机启动
systemctl enable firewalld
#关闭
systemctl stop firewalld
#取消开机启动
systemctl disable firewalld
#禁止IP(123.56.161.140)访问机器
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.161.140” drop’
#禁止一个IP段,比如禁止123.56..
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.0.0/16” drop’
#禁止一个IP段,比如禁止123.56.161.*
firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source address=“123.56.161.0/24” drop’
#禁止机器IP(123.56.161.140)从防火墙中删除
firewall-cmd --permanent --remove-rich-rule=‘rule family=ipv4 source address=“123.56.161.140” drop’
#允许http服务(对应服务计谋目录:/usr/lib/firewalld/services/)
firewall-cmd --permanent --add-service=http
#关闭http服务(对应服务计谋目录:/usr/lib/firewalld/services/)
firewall-cmd --permanent --remove-service=http
#允许端口:3389
firewall-cmd --permanent --add-port=3389/tcp
#允许端口:1-3389
firewall-cmd --permanent --add-port=1-3389/tcp
#关闭放行中端口:3389
firewall-cmd --permanent --remove-port=3389/tcp
#查看firewall的状态
firewall-cmd --state
#查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙计谋,在设置计谋前,我一般喜好先CP,以后方便直接还原)
firewall-cmd --list-all
#查看所有的防火墙计谋(即显示/etc/firewalld/zones/下的所有计谋)
firewall-cmd --list-all-zones
#重新加载设置文件
firewall-cmd --reload
#更改设置后一定要重新加载设置文件:
firewall-cmd --reload
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]