- 浏览: 4752376 次
- 性别:
- 来自: 上海
-
文章分类
最新评论
-
bzhao:
你也应该可以这样:(not tested)./rbtunnel ...
在Bash脚本中怎么关闭文件描述符? -
bzhao:
如果有A进程原代码情况下,通过如下调用,把他的子进程继承关闭则 ...
在Bash脚本中怎么关闭文件描述符? -
Master-Gao:
楼主咋没分析下源码呢?
我使用过的Linux命令之dirname - 截取给定路径的目录部分 -
jiedushi:
tail -F 就可以吧
Linux下实时跟踪log4j日志文件的bash脚本 - 增强了tail -f的功能 -
java_is_new:
新手学习了,就是不明白为一个网卡配多个ip有什么用
我使用过的Linux命令之ifconfig - 网络配置命令
成功粉碎一起来自四川的网络攻击
攻击现象
时间:2011.12.09 14:25
刚才用SecureCRT登录到公司的Linux服务器之后,不久之后再用SecureCRT重新开一屏登录报错“Connection reset by peer”,从本地Linux上使用sftp下载文件也报错:
[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer
[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer
解决过程
幸好,已经登录的那个ssh会话还没有断开,并且能正常响应,先用w命令看一下:
[root@web ~]# w
14:29:12 up 494 days, 17:58, 2 users, load average: 0.02, 0.44, 1.15
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 cvsbank 14:08 19.00s 0.63s 0.63s -bash
root pts/3 cvsbank 14:16 0.00s 0.33s 0.00s w
[root@web ~]#
看上去挺正常。再用netstat看一下:
[root@web ~]# netstat -anp | grep :22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2701/sshd
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3921 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3927 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3911 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3917 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3954 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3953 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3957 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3941 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3946 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3950 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3949 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3986 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3993 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3970 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3968 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3974 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3972 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3973 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3977 TIME_WAIT -
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4020 ESTABLISHED 25876/sshd: root [p
tcp 808 704 xxx.xx.xxx.xx:22 182.131.134.162:4024 ESTABLISHED 25884/sshd: [accept
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4003 ESTABLISHED 25824/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4006 ESTABLISHED 25836/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4004 ESTABLISHED 25828/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4005 ESTABLISHED 25832/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4010 ESTABLISHED 25846/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4009 ESTABLISHED 25842/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4014 ESTABLISHED 25862/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4015 ESTABLISHED 25866/sshd: root [p
tcp 0 200 xxx.xx.xxx.xx:22 yy.yyy.yy.yy:47887 ESTABLISHED 19397/3
(其中,xxx.xx.xxx.xx是服务器ip地址,yy.yyy.yy.yy是我的机器的地址。)
哇,这么多相同的地址,看来是有人试图从182.131.134.162来进行ssh登录,
到http://www.ip138.com/查下这个地址:
ip138.com IP查询(搜索IP地址的地理位置) |
您查询的IP:182.131.134.162 |
|
我现在要做的是禁止此地址访问:
[root@web ~]# iptables -I INPUT -s 182.131.134.162 -j DROP
[root@web ~]#
再来看看有没有
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4284 ESTABLISHED 26478/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4285 ESTABLISHED 26482/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4290 ESTABLISHED 26493/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4291 ESTABLISHED 26498/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4295 ESTABLISHED 26506/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4293 ESTABLISHED 26502/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4298 ESTABLISHED 26510/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4299 ESTABLISHED 26514/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4302 ESTABLISHED 26518/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4303 ESTABLISHED 26522/sshd: root [n
杀掉这些列出的进程
[root@web ~]# kill 26478 26482 26493 26498 26506 26502 26510 26514 26518 26522
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4284 ESTABLISHED 26481/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4285 ESTABLISHED 26489/sshd: root [n
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]# kill 26481 26489
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4284 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4285 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4284 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4285 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]#
[root@web ~]#
[root@web ~]#
[root@web ~]#
过一会再看一下:
[root@web ~]# netstat -anp | grep 182.131.134.162
[root@web ~]#
终于搞定了。ssh登录和sftp下文件都正常了。
再次列出关键命令,用于禁止某个ip地址访问服务器:
iptables -I INPUT -s 182.131.134.162 -j DROP
更多相关的做法参见
iptables封ip段linux http://profile.8j.com/question/113/40/840.htm
转载本文请注明出处:http://codingstandards.iteye.com/blog/1299936
顶
踩
评论
关键是思路
对
关键是思路
发表评论
-
Linux下怎样查找包含**的文件
2013-02-20 15:25 11583在Linux下,查找包含字符串的文件使用的命令是grep。如 ... -
在Linux下比较两个目录需要忽略某些文件时怎么做?
2013-01-10 22:18 5414在Linux下如果要比较两个目录,可以使用dif ... -
为什么在crontab中使用ntpdate同步时间无效?
2012-07-30 09:41 12885在一台 VirtualBox 上安装的 CentOS 5.8 ... -
双线云主机不能访问远程服务的问题解决记录
2012-06-13 13:59 3046双线云主机不能访问远程服务的问题解决记录 新购置的双线云主机 ... -
谁动了我的sshd(消失的sshd,诡异)(+真相)
2012-06-11 15:33 25002消失的sshd 上午一直登录在一台远程Linux服务器上 ... -
在Linux下怎么看网络流量?方法太多了
2012-05-26 14:46 175886在Linux下怎么看网络流 ... -
怎样使用rpm命令一次性删除依赖的软件包
2012-05-20 06:58 26507怎样使用rpm命令一次性删除依赖的软件包 搜索了一下网络,发 ... -
别忘了在disown之前执行bg命令,否则进程会一直stopped
2012-02-16 17:50 6018别忘了在disown之前执行bg命令,否则进程会一直stopp ... -
在Linux下怎样将光盘转储为iso镜像文件
2011-11-10 09:35 5642问题:在Linux下怎样将光盘转储为iso镜像文件? ... -
在Linux下怎样让top命令启动之后就按内存使用排序(或CPU使用排序)?
2011-11-01 17:01 5868在Linux下怎样让top命令 ... -
在Linux下列出包含指定字符串或正则表达式的文件名
2011-11-01 11:05 4333在Linux下包含指定字符串或正则表达式的文件(仅列出文件名) ... -
在Linux下怎样安装rarlinux?
2011-10-31 13:49 4258在Linux下怎样安装rarlinux? 本文是“我使用过的 ... -
E138: 不能写入 viminfo 文件 /root/.viminfo
2011-09-25 13:08 14682E138: 不能写入 viminfo 文件 /root/.vi ...
相关推荐
《易语言超级粉碎文件》 在信息技术领域,文件管理是一个重要的环节,而“易语言超级粉碎文件”就是针对这一需求开发的一种工具。易语言是一种基于中国本土化编程思想的编程语言,它以其简洁的语法和丰富的功能库,...
标题中的“粉碎文件 绿色工具 粉碎文件”显然指的是一个用于安全删除文件的软件,这种软件通常被称为文件粉碎器。文件粉碎器的主要功能是彻底删除文件,使其无法通过常规手段恢复,以保护用户的隐私和数据安全。在IT...
《零隐私-粉碎器:深度解析文件粉碎机的原理与应用》 在信息化时代,个人隐私保护成为越来越重要的议题。而“零隐私-粉碎器”作为一个文件粉碎机工具,其核心功能是彻底删除指定文件,确保文件内容无法被恢复,从而...
文件粉碎bat
很好用的文件夹粉碎机 很好用的文件夹粉碎机
【超级文件粉碎机】是一款专为用户设计的高效、安全的文件删除工具,它与传统的删除方式不同,能够确保被删除的文件无法通过数据恢复软件进行恢复,从而提供了一种更为彻底的隐私保护和信息安全解决方案。...
文件粉碎是信息安全领域的一个重要概念,它涉及到对不再需要但包含敏感信息的文件进行彻底删除,以防止数据被恢复。在计算机系统中,简单的删除操作并不意味着文件内容已完全消除,因为操作系统通常只是将文件标记...
8. 安全与隐私:文件粉碎涉及到用户数据安全,因此在编写代码时应确保粉碎过程不会对其他文件造成误操作,同时也要考虑到程序自身的安全性,防止恶意攻击。 9. 最终删除:最后,当文件被粉碎后,通常会使用...
2. **GetProcAddress函数**:在成功加载DLL之后,我们需要找到并获取实现文件粉碎功能的具体函数指针。这个函数存在于`GetProcAddress`中,它接收两个参数:一个是已经加载的DLL句柄,另一个是要查找的函数名称。...
- 提示用户:完成粉碎后,向用户显示操作成功的信息。 9. **安全删除**:除了覆写外,还可以使用其他安全删除策略,如填充特定的数据序列(如0或1),或者使用特定的加密算法对文件进行处理,增加数据恢复的难度。...
在VB粉碎机控制中,200PLC担当着现场控制的核心角色,接收并执行来自VB程序的指令,同时采集和反馈设备状态信息。通过编程,PLC可以监控粉碎机的实时电流变化,这是判断设备负载和运行状况的重要指标。 VB(Visual ...
在IT领域,文件粉碎机是一种安全删除文件的工具,它通过多次覆盖数据,使得被删除的文件无法通过常规手段恢复,从而确保敏感信息不会落入不法之手。本项目名为"C#文件粉碎机",是基于C#编程语言和Windows Forms...
非常好用的文件粉碎机支持右键粉碎功能,关键还是绿色的哦!
易语言文件粉碎机源码,文件粉碎机,删除路径文件名_
在IT领域,"暴力粉碎文件"和"暴力删除文件"是指使用特殊手段彻底删除文件,使其无法通过常规恢复方法找回。这些手段通常涉及到多次写入、覆盖或随机数据填充等技术,以确保文件数据被完全破坏。以下是关于这个主题的...
《电脑文件粉碎技术详解——以“火绒文件粉碎”为例》 在数字化时代,信息安全成为了我们日常生活和工作中不可或缺的一部分。而文件的彻底删除,尤其是在Windows 10操作系统中,是确保敏感信息不被恢复的重要手段。...
粉碎字效果 flash
【360文件粉碎机便携版】是源自360安全卫士8.2版本的一个功能组件,它被独立提取出来,以绿色软件的形式提供给用户,无需安装即可使用,极大地方便了用户对不再需要但又担心隐私泄露或难以彻底删除的文件进行销毁...
文件粉碎器,以前瑞星自带的工具单独提取出来的,可以作为文件消除的轻量工具,当然高度机密的文件请使用专业粉碎程序。