`

成功粉碎一起来自四川的网络攻击

阅读更多

成功粉碎一起来自四川的网络攻击

攻击现象

时间:2011.12.09 14:25

刚才用SecureCRT登录到公司的Linux服务器之后,不久之后再用SecureCRT重新开一屏登录报错“Connection reset by peer”,从本地Linux上使用sftp下载文件也报错:

[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer

[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer

 

解决过程

幸好,已经登录的那个ssh会话还没有断开,并且能正常响应,先用w命令看一下:

[root@web ~]# w
 14:29:12 up 494 days, 17:58,  2 users,  load average: 0.02, 0.44, 1.15
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/2    cvsbank          14:08   19.00s  0.63s  0.63s -bash
root     pts/3    cvsbank          14:16    0.00s  0.33s  0.00s w
[root@web ~]#

看上去挺正常。再用netstat看一下:

[root@web ~]# netstat -anp | grep :22
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      2701/sshd          
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3921        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3927        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3911        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3917        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3954        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3953        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3957        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3941        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3946        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3950        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3949        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3986        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3993        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3970        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3968        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3974        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3972        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3973        TIME_WAIT   -                  
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:3977        TIME_WAIT   -                  
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4020        ESTABLISHED 25876/sshd: root [p
tcp      808    704 xxx.xx.xxx.xx:22            182.131.134.162:4024        ESTABLISHED 25884/sshd: [accept
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4003        ESTABLISHED 25824/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4006        ESTABLISHED 25836/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4004        ESTABLISHED 25828/sshd: root [p
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4005        ESTABLISHED 25832/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4010        ESTABLISHED 25846/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4009        ESTABLISHED 25842/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4014        ESTABLISHED 25862/sshd: root [p
tcp        0      0 xxx.xx.xxx.xx:22            182.131.134.162:4015        ESTABLISHED 25866/sshd: root [p
tcp        0    200 xxx.xx.xxx.xx:22            yy.yyy.yy.yy:47887          ESTABLISHED 19397/3            

(其中,xxx.xx.xxx.xx是服务器ip地址,yy.yyy.yy.yy是我的机器的地址。)

哇,这么多相同的地址,看来是有人试图从182.131.134.162来进行ssh登录,

到http://www.ip138.com/查下这个地址:

 

 

ip138.com IP查询(搜索IP地址的地理位置)

您查询的IP:182.131.134.162

  • 本站主数据:四川省广安市 电信
  • 参考数据一:四川省成都市 电信

 

 

我现在要做的是禁止此地址访问:

[root@web ~]# iptables -I INPUT -s 182.131.134.162 -j DROP
[root@web ~]#

 

再来看看有没有

[root@web ~]# netstat -anp | grep 182.131.134.162
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4284        ESTABLISHED 26478/sshd: root [p
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4285        ESTABLISHED 26482/sshd: root [p
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4290        ESTABLISHED 26493/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4291        ESTABLISHED 26498/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4295        ESTABLISHED 26506/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4293        ESTABLISHED 26502/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4298        ESTABLISHED 26510/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4299        ESTABLISHED 26514/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4302        ESTABLISHED 26518/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4303        ESTABLISHED 26522/sshd: root [n

杀掉这些列出的进程
[root@web ~]# kill 26478 26482 26493 26498 26506 26502 26510 26514 26518 26522
[root@web ~]# netstat -anp | grep 182.131.134.162                             
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4284        ESTABLISHED 26481/sshd: root [n
tcp        0     84 xxx.xx.xxx.xx:22            182.131.134.162:4285        ESTABLISHED 26489/sshd: root [n
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4290        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4291        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4295        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4293        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4298        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4299        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4302        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4303        FIN_WAIT1   -                  
[root@web ~]# kill 26481 26489
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4284        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4285        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4290        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4291        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4295        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4293        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4298        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4299        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4302        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4303        FIN_WAIT1   -                  
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4284        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4285        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4290        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4291        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4295        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4293        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4298        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4299        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4302        FIN_WAIT1   -                  
tcp        0     85 xxx.xx.xxx.xx:22            182.131.134.162:4303        FIN_WAIT1   -                  
[root@web ~]#
[root@web ~]#
[root@web ~]#
[root@web ~]#

过一会再看一下:
[root@web ~]# netstat -anp | grep 182.131.134.162
[root@web ~]#

终于搞定了。ssh登录和sftp下文件都正常了。

 

再次列出关键命令,用于禁止某个ip地址访问服务器:

iptables -I INPUT -s 182.131.134.162 -j DROP

 

更多相关的做法参见

iptables封ip段linux   http://profile.8j.com/question/113/40/840.htm

 

转载本文请注明出处:http://codingstandards.iteye.com/blog/1299936

 

 

 

10
2
分享到:
评论
3 楼 codingstandards 2011-12-15  
hxai11 写道
其实这个还算简单
关键是思路

2 楼 hxai11 2011-12-14  
其实这个还算简单
关键是思路
1 楼 liuyuanhui0301 2011-12-10  
   

相关推荐

    易语言超级粉碎文件

    《易语言超级粉碎文件》 在信息技术领域,文件管理是一个重要的环节,而“易语言超级粉碎文件”就是针对这一需求开发的一种工具。易语言是一种基于中国本土化编程思想的编程语言,它以其简洁的语法和丰富的功能库,...

    粉碎文件 绿色工具 粉碎文件

    标题中的“粉碎文件 绿色工具 粉碎文件”显然指的是一个用于安全删除文件的软件,这种软件通常被称为文件粉碎器。文件粉碎器的主要功能是彻底删除文件,使其无法通过常规手段恢复,以保护用户的隐私和数据安全。在IT...

    零隐私-粉碎器 文件粉碎机

    《零隐私-粉碎器:深度解析文件粉碎机的原理与应用》 在信息化时代,个人隐私保护成为越来越重要的议题。而“零隐私-粉碎器”作为一个文件粉碎机工具,其核心功能是彻底删除指定文件,确保文件内容无法被恢复,从而...

    超级弱智文件粉碎机.bat

    文件粉碎bat

    超级文件夹粉碎机 文件粉碎

    很好用的文件夹粉碎机 很好用的文件夹粉碎机

    超级文件粉碎机

    【超级文件粉碎机】是一款专为用户设计的高效、安全的文件删除工具,它与传统的删除方式不同,能够确保被删除的文件无法通过数据恢复软件进行恢复,从而提供了一种更为彻底的隐私保护和信息安全解决方案。...

    文件粉碎文件粉碎文件粉碎

    文件粉碎是信息安全领域的一个重要概念,它涉及到对不再需要但包含敏感信息的文件进行彻底删除,以防止数据被恢复。在计算机系统中,简单的删除操作并不意味着文件内容已完全消除,因为操作系统通常只是将文件标记...

    vb 文件粉碎机源代码

    8. 安全与隐私:文件粉碎涉及到用户数据安全,因此在编写代码时应确保粉碎过程不会对其他文件造成误操作,同时也要考虑到程序自身的安全性,防止恶意攻击。 9. 最终删除:最后,当文件被粉碎后,通常会使用...

    易语言调用360文件粉碎功能

    2. **GetProcAddress函数**:在成功加载DLL之后,我们需要找到并获取实现文件粉碎功能的具体函数指针。这个函数存在于`GetProcAddress`中,它接收两个参数:一个是已经加载的DLL句柄,另一个是要查找的函数名称。...

    用VB编写文件粉碎机

    - 提示用户:完成粉碎后,向用户显示操作成功的信息。 9. **安全删除**:除了覆写外,还可以使用其他安全删除策略,如填充特定的数据序列(如0或1),或者使用特定的加密算法对文件进行处理,增加数据恢复的难度。...

    VB粉碎机控制

    在VB粉碎机控制中,200PLC担当着现场控制的核心角色,接收并执行来自VB程序的指令,同时采集和反馈设备状态信息。通过编程,PLC可以监控粉碎机的实时电流变化,这是判断设备负载和运行状况的重要指标。 VB(Visual ...

    C#文件粉碎机

    在IT领域,文件粉碎机是一种安全删除文件的工具,它通过多次覆盖数据,使得被删除的文件无法通过常规手段恢复,从而确保敏感信息不会落入不法之手。本项目名为"C#文件粉碎机",是基于C#编程语言和Windows Forms...

    超好用的文件粉碎机支持右键粉碎

    非常好用的文件粉碎机支持右键粉碎功能,关键还是绿色的哦!

    易语言文件粉碎机

    易语言文件粉碎机源码,文件粉碎机,删除路径文件名_

    暴力粉碎文件 暴力删除文件

    在IT领域,"暴力粉碎文件"和"暴力删除文件"是指使用特殊手段彻底删除文件,使其无法通过常规恢复方法找回。这些手段通常涉及到多次写入、覆盖或随机数据填充等技术,以确保文件数据被完全破坏。以下是关于这个主题的...

    文件粉碎工具.zip

    《电脑文件粉碎技术详解——以“火绒文件粉碎”为例》 在数字化时代,信息安全成为了我们日常生活和工作中不可或缺的一部分。而文件的彻底删除,尤其是在Windows 10操作系统中,是确保敏感信息不被恢复的重要手段。...

    粉碎字效果 flash

    粉碎字效果 flash

    360文件粉碎机便携版

    【360文件粉碎机便携版】是源自360安全卫士8.2版本的一个功能组件,它被独立提取出来,以绿色软件的形式提供给用户,无需安装即可使用,极大地方便了用户对不再需要但又担心隐私泄露或难以彻底删除的文件进行销毁...

    文件粉碎器

    文件粉碎器,以前瑞星自带的工具单独提取出来的,可以作为文件消除的轻量工具,当然高度机密的文件请使用专业粉碎程序。

Global site tag (gtag.js) - Google Analytics