记录一次真实的服务器被黑客入侵经历 _服务器

2020年4月6日凌晨，我收到一条来自腾讯云的短信：
【腾讯云】安全提醒:您的服务器172.21.x.x(账号ID:xxxxx instance-id:ins-xxxxxx[未命名] 地域:北京)检测到来自 61.219.255.x 的暴力破解事件，破解状态：破解成功。您的服务器疑似被黑客入侵，请即刻前往主机安全控制台查看详细信息并参照：http://url.cn/5AnEx6J ，进行处理

文章插图

我的服务器被入侵了？我看了一下，发现这个服务器是我个人的一台闲置服务器，以前搭建过一个wordPress/ target=_blank class=infotextkey>WordPress 测试了下而已, 这台服务器当时并没有设置秘钥登录，允许了密码登录并且是root用户。
我开始想过直接重装系统，但是出于技术人心里的一点倔强和好奇决定查看一下。

1、我连上服务器之后先执行了 w 命令看了下，除了我之外没有别IP在连服务器！(当时忘了截图) ，执行 history 命令没有查到异常的记录, 在 .bash_history 也没有查到。

2、然后查了下 /var/log/secure 日志，发现密码确实被攻破了(我把日志中的IP最后一段换成了x)：

Apr6 00:19:48 VM_0_5_centos sshd[22197]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.219.255.xuser=root Apr6 00:19:50 VM_0_5_centos sshd[22197]: Failed password for root from 61.219.255.x port 53319 ssh2 Apr6 00:19:51 VM_0_5_centos sshd[22197]: Connection closed by 61.219.255.x port 53319 [preauth] Apr6 00:19:54 VM_0_5_centos sshd[22210]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.219.255.xuser=root Apr6 00:19:56 VM_0_5_centos sshd[22210]: Failed password for root from 61.219.255.x port 48948 ssh2 Apr6 00:19:56 VM_0_5_centos sshd[22210]: Connection closed by 61.219.255.x port 48948 [preauth] Apr6 00:19:57 VM_0_5_centos sshd[22220]: Accepted password for root from 61.219.255.x port 14542 ssh2

可以看到最下面那一条： Accepted password for root from 61.219.255.x 说明他破解了我的密码

接下来我发现了一个可怕的事情，这个黑客简直是高手。

他不但破解了我的密码，还在root 用户下.ssh/authorized_keys 添加了他的公钥，而且还新建了一个普通用户，同样也加了公钥。我尝试清除掉他的公钥，提示我无法保存。我可是root 用户啊，作为一个运维人员，很快会意识到文件被加锁了。

[root@VM_0_5_centos ~]# lsattr .ssh/authorized_keys-----i------- .ssh/authorized_keys#果然被加锁了 ，需要先解锁再修改[root@VM_0_5_centos ~]# chattr -i.ssh/authorized_keys#然后用同样的方法解锁黑客新建用户的认证文件，然后删掉他新建的用户

3、我马上修改sshd的配置文件，包括拒绝密码认证和拒绝root直接ssh, 创建一个新用户并添加我的公钥

vi  /etc/ssh/sshd_config#禁止密码认证PasswordAuthentication no#禁止root用户直接ssh到服务器PermitRootLogin no#公钥的位置AuthorizedKeysFile .ssh/authorized_keys#然后重启sshd 服务#再创建一个用户dfzz, 并授权sudo all，也可以只授权某个命令，看自己需要喽 visudodfzzALL=(ALL)NOPASSWD: ALL

4、用户检查完了，sshd也重启了，我开始检查有没有恶意进程

文章插图

果然还是没放过我啊，这个wordpress 进程并不是我之前自己测试的wordpress，我之前是 lnmp+ wordpress ，并没有叫wordpress的进程。
我kill 掉这个进程，并删除了这个文件

然后用 netstat -lntup 查了一下有没有异常的服务端口
【记录一次真实的服务器被黑客入侵经历】

#忘记截图也忘记复制了 。。。#查看进程对应的目录ls -l/proc/13747#目录下有一个exe 对应的文件就是程序执行文件，删掉它，然后 kill掉进程

5、检查一下 /etc/hosts 因为黑客经常入侵服务器经常会修改 hosts 文件

文章插图

呵呵，还真是。我修改的时候同样提示权限不足，还是先解锁再修改。

6、我又检查了一下定时任务，因为黑客经常会修改定时任务，你删掉他们的程序定时又会启动，可结果却是定时任务正常，没有被修改, 我有点诧异，难道这就结束了？

好，那我重启一下系统看看！

果然，没我想的这么简单！
重启后发现 /etc/hosts 又被加了一大推， root 用户的authorized_keys 又被加了黑客的公钥，而且我新建的那个dfzz 用户也被加了他的公钥，当然这三个文件也被加了锁，真的厉害！