解决来自美国IP的攻击过程

记一次 Confluence 被攻击事件

参考：https://www.cnblogs.com/Dy1an/p/10724838.html

　　  

CentOS运维】--解决恶意进程

https://blog.csdn.net/u012377333/article/details/80664437

 

 

1.因为最近接口文档confluence服务总是自动关闭。

 

解决方法：

1.查看阿里云上的报警提示，看到来自外国的Ip的攻击。这时我选择把攻击的IP加入黑名单。

加入黑名单的方法：https://blog.csdn.net/qjc_501165091/article/details/51225984

 

CentOS运维】--解决恶意进程

https://blog.csdn.net/u012377333/article/details/80664437

 

这时重启confluence服务，发现过一会服务又自动关闭。

查看阿里云上的CUP监控，发现CPU一直都是100%。

于是登录服务器查看是哪个进程在占用。

 

发现confluence这个进程一直在运行。于是kill -9 这个进程。这是奇怪的事情发生了，当我kill后，在没做任何操作的情况下

过了几秒钟，这个服务又自动运行起来了。

 

于是我根据PID来查看这个服务

 

 

2.上面的方法重启服务器后还是没解决问题

另一种方法：

在centos7用的是firewall 添加单个黑名单只需要把ip添加到 /etc/hosts.deny

 

格式  sshd:$IP:deny

 

vim /etc/hosts.deny   添加你要禁止的ip就可以了

 

sshd:192.168.1.147:deny

 

这是允许的 /etc/hosts.allow

sshd:19.16.18.1:allow

sshd:19.16.18.2:allow

---------------------

 

添加后重启xinetd    systemctl start xinetd

如果没安装xinetd 下面是安装方法：

 

centos7 安装xinetd,telnet

 

安装方式：yum

 

[root@master ~]# yum list |grep telnet

telnet-server.x86_64                    1:0.17-59.el7                  @base    

telnet.x86_64                           1:0.17-59.el7                  base     

[root@localhost /]# yum install telnet-server.x86_64

 

[root@localhost /]]# yum install telnet.x86_64

 

[root@localhost /]# yum list |grep xinetd

xinetd.x86_64                           2:2.3.15-12.el7                @base  

[root@localhost /]# yum install xinetd.x86_64

 

 

 

安装完成后，将xinetd服务加入开机自启动:

    systemctl enable xinetd.service

将telnet服务加入开机自启动：

    systemctl enable telnet.socket

最后，启动以上两个服务即可：

    systemctl start telnet.socket

    systemctl start xinetd（或service xinetd start）