排查步骤:
1,切到root(root用户的密码强度要高);last查看最近登录用户;
2,who查看当前登录用户,以查看当前是否在登录;关心异常登录的用户名;
通过1,2就能够知道异常登录中黑客使用的登录用户名,和登录ip。
【防范措施】
1,禁止相关ip登录,用iptables实现;
2,修改黑客使用的登录用户的密码,调高密码等级防止继续被入侵;
【更多操作】
1,查看黑客使用的命令,先查看下时间:ls -la /home/{user}/.bash_history;
2,如果时间是最近修改过,那么cat 或者 cp等拷贝到其它文件中,再用vim打开,查看黑客执行了什么操作,针对这些操作需要做些防范措施,比如修改文件夹的访问权限,删除恶意的cron脚本等等
【iptables使用说明】
添加规则:
iptables -t filter -A INPUT -s 47.93.19.0/24 -p tcp --dport 22 -j REJECT 解释: -t指明使用过滤器 -A INPUT表示append一个INPUT规则到最后 -s ip表示要操作的是哪个ip段 -p tcp表示操作的是tcp还是udp -dport 22表示操作的是目的端口22 -j REJECT表示操作类型是拒绝 查看所有的规则: iptables -nvL 查看规则对应的编号: iptables --line-number -nL 删除不想要的规则: iptables -D INPUT [num] -D是删除操作,INPUT是类型,num是刚才用编号命令查到规则对应的编号 类型包括:INPUT,OUTPUT, FORWARD