记一次vps被入侵
记一次vps被入侵
故事是这样的:这一天我打算用我1核1G的vps起个小型网站自己玩玩,在处理完一天的事情后打开我的xshell想连上vps,发现自己连不上了,于是乎打开百度云管理平台,VNC远程访问,结果发现我的vps居然装上了图形化界面(笑哭)。逆天!1核1G你打进来还要装这个!
我马上意识到这是被日掉了,于是尝试了通过管理平台改密码,结果还是登不上,这样一来查不了日志,也没法做其他保护操作,而且被打了大概率是给人当肉鸡跳板,于是乎马上采取了重装系统的方式(重装了xshell还是连不上,猜测当时可能还在往22端口爆破,我挤不进去),并在管理平台删除了所有防火墙端口开放策略。发现还是有人在打,小服务器抗压本来也不行,所以我直接关机,等睡醒了攻击结束再做手段防护(手动狗头)。
一开始觉得重装了可能日志也没有了,所以打算和百度云官方询问下有哪些ip尝试登录(百度智能云看不到这些东西,没有阿里什么的好使)但重装完试了试发现可以查看部分日志
发现大量尝试登录的记录,试着搜了搜这几个ip,发现有美国的,阿曼的,还有河南的,猜测是使用了代理工具,其中159.203.177.51,159.203.177.51和179.60.147.161网上能搜到,别标记为多次发起SSH攻击的主机(我的密码也不弱啊草)
采取一些措施进行防御
1.更换SSH默认连接端口
vim /etc/ssh/sshd_config
把 Port 22 改成 Port xxx(一个别人不容易猜出来且不常用的端口)
2.banIP
ubantu自带防火墙ufw(其实也是个管理工具不是啥防火墙,核心不是它),直接把这几个ban了(参考:https://blog.csdn.net/weixin_34515452/article/details/116836013)
ufw insert 1 deny from 159.203.177.51(ufw会从一堆策略中查找,一旦匹配到有关这个ip的策略就不会再检索下一条相关策略,所以采取设为第一条的方法,先deny,后面allow也没有用) ufw delete deny from xxxx(删除策略)
3.配置其他防护手段
首先是照着别人的文章想搞denyhost,但第一步就装不上,我的ubantu vps上没有,所以放弃了这一方法
因为要起站,所以配置了宝塔,直接用宝塔里的免费工具
这样传统爆破的手段很难生效,爆破次数过多直接封禁
再加装个木马查杀,查一遍
本来还想安装配置iptables的,但是我比较懒,而且对于一个1核1G的vps来说,太多的防火墙也不是一件好事,把各个防火墙策略配置的严格一点就行
4.禁用root账户远程登录
这个方式确实有用,但是这样一来我xshell就连不上了,只能管理平台VNC连接,影响我使用体验,所以没做这个措施,这个措施的前提也是要有其他账户,对于我这个自己弹弹shell,挂挂cs的vps来说,意义不大
vim /etc/ssh/sshd_config
这次经历也算是一场小小的应急响应,入侵排查吧,过几天接着更内网渗透的内容,断更好几天了。。。。