记录一次真实的服务器被黑客入侵经历

2020年4月6日凌晨，我收到一条来自腾讯云的短信：

【腾讯云】安全提醒:您的服务器172.21.(账号ID:xxxxxinstance-id:ins-xxxxxx[未命名]地域:北京)检测到来自61.219.255.x的暴力破解事件，破解状态：破解成功。您的服务器疑似被黑客入侵，请即刻前往主机安全控制台查看详细信息并参照：，进行处理

我的服务器被入侵了？我看了一下，发现这个服务器是我个人的一台闲置服务器，以前搭建过一个wordpress测试了下而已,这台服务器当时并没有设置秘钥登录，允许了密码登录并且是root用户。

我开始想过直接重装系统，但是出于技术人心里的一点倔强和好奇决定查看一下。

1、我连上服务器之后先执行了w命令看了下，除了我之外没有别IP在连服务器！(当时忘了截图)，执行history命令没有查到异常的记录,在.bash_history也没有查到。

2、然后查了下/var/log/secure日志，发现密码确实被攻破了(我把日志中的IP最后一段换成了x)：

Apr600:19:48VM_0_5_centossshd[22197]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=61.219.255.xuser=rootApr600:19:50VM_0_5_centossshd[22197]::19:51VM_0_5_centossshd[22197]:[preauth]Apr600:19:54VM_0_5_centossshd[22210]:pam_unix(sshd:auth):authenticationfailure;logname=uid=0euid=0tty=sshruser=rhost=61.219.255.xuser=rootApr600:19:56VM_0_5_centossshd[22210]::19:56VM_0_5_centossshd[22210]:[preauth]Apr600:19:57VM_0_5_centossshd[22220]:

可以看到最下面那一条：说明他破解了我的密码

接下来我发现了一个可怕的事情，这个黑客简直是高手。

他不但破解了我的密码，还在root用户下.ssh/authorized_keys添加了他的公钥，而且还新建了一个普通用户，同样也加了公钥。我尝试清除掉他的公钥，提示我无法保存。我可是root用户啊，作为一个运维人员，很快会意识到文件被加锁了。

[root@VM_0_5_centos~]果然被加锁了，需要先解锁再修改[root@VM_0_5_centos~]然后用同样的方法解锁黑客新建用户的认证文件，然后删掉他新建的用户

3、我马上修改sshd的配置文件，包括拒绝密码认证和拒绝root直接ssh,创建一个新用户并添加我的公钥

vi/etc/ssh/sshd_config禁止root用户直接ssh到服务器PermitRootLoginno然后重启sshd服务查到了一个，但是忘记截图也忘记复制了。。。目录下有一个exe对应的文件就是程序执行文件，删掉它，然后kill掉进程

5、检查一下/etc/hosts因为黑客经常入侵服务器经常会修改hosts文件

呵呵，还真是。我修改的时候同样提示权限不足，还是先解锁再修改。

6、我又检查了一下定时任务，因为黑客经常会修改定时任务，你删掉他们的程序定时又会启动，可结果却是定时任务正常，没有被修改,我有点诧异，难道这就结束了？

好，那我重启一下系统看看！

果然，没我想的这么简单！

重启后发现/etc/hosts又被加了一大推，root用户的authorized_keys又被加了黑客的公钥，而且我新建的那个dfzz用户也被加了他的公钥，当然这三个文件也被加了锁，真的厉害！

我先给这三个文件解锁，去掉了被修改的内容

又查看了下进程，发现刚才kill的那两个进程不出所料的又启动了。

我还是先kill掉这两个进程并删除执行文件

接下来查一下开机启动文件：

chkconfig--listchattr-i/etc///watchdogs[root@VM_0_5_centos~]chattr-i/etc///pdflushs[root@VM_0_5_centos~]我让你给我再加锁？#自己改的名字一定要记住，或者一会再改回来

好，现在发现了一个可疑的开机自启的文件，又删掉了一些可疑脚本，再重启试一下!

我抱着激动的心情输入了reboot命令

。。。。。。无法连接服务器！

我回头看了一下，刚才删除文件的时候，误删了一个文件/etc///functions导致系统重启起不来了！由于我这个服务器不重要。。。当时这个服务器没有做镜像和快照！

只能重装系统！

这篇文章是在系统重装后写的，有的地方可能有遗漏，并没有完美的解决此次被黑客入侵，当做一次教训记录下来。

黑客的手法很高明，我们只能更加小心，一点都不能疏忽大意。

亡羊补牢的措施：

1、服务器绝对不允许密码认证登录

2、禁止root用户直接ssh登录

3、如果公司的IP是固定的，可以对ssh做IP限制，或者做一个vpn服务，总之通过固定IP去ssh就可以限制IP了，这样是最安全的