- 浏览: 4733126 次
- 性别:
- 来自: 上海
文章分类
最新评论
-
bzhao:
你也应该可以这样:(not tested)./rbtunnel ...
在Bash脚本中怎么关闭文件描述符? -
bzhao:
如果有A进程原代码情况下,通过如下调用,把他的子进程继承关闭则 ...
在Bash脚本中怎么关闭文件描述符? -
Master-Gao:
楼主咋没分析下源码呢?
我使用过的Linux命令之dirname - 截取给定路径的目录部分 -
jiedushi:
tail -F 就可以吧
Linux下实时跟踪log4j日志文件的bash脚本 - 增强了tail -f的功能 -
java_is_new:
新手学习了,就是不明白为一个网卡配多个ip有什么用
我使用过的Linux命令之ifconfig - 网络配置命令
成功粉碎一起来自四川的网络攻击
攻击现象
时间:2011.12.09 14:25
刚才用SecureCRT登录到公司的Linux服务器之后,不久之后再用SecureCRT重新开一屏登录报错“Connection reset by peer”,从本地Linux上使用sftp下载文件也报错:
[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer
[root@node57 backup]# sftp xxx.xx.xxx.xx
Connecting to xxx.xx.xxx.xx...
ssh_exchange_identification: Connection closed by remote host
Couldn't read packet: Connection reset by peer
解决过程
幸好,已经登录的那个ssh会话还没有断开,并且能正常响应,先用w命令看一下:
[root@web ~]# w
14:29:12 up 494 days, 17:58, 2 users, load average: 0.02, 0.44, 1.15
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/2 cvsbank 14:08 19.00s 0.63s 0.63s -bash
root pts/3 cvsbank 14:16 0.00s 0.33s 0.00s w
[root@web ~]#
看上去挺正常。再用netstat看一下:
[root@web ~]# netstat -anp | grep :22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2701/sshd
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3921 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3927 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3911 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3917 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3954 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3953 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3957 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3941 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3946 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3950 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3949 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3986 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3993 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3970 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3968 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3974 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3972 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3973 TIME_WAIT -
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:3977 TIME_WAIT -
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4020 ESTABLISHED 25876/sshd: root [p
tcp 808 704 xxx.xx.xxx.xx:22 182.131.134.162:4024 ESTABLISHED 25884/sshd: [accept
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4003 ESTABLISHED 25824/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4006 ESTABLISHED 25836/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4004 ESTABLISHED 25828/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4005 ESTABLISHED 25832/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4010 ESTABLISHED 25846/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4009 ESTABLISHED 25842/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4014 ESTABLISHED 25862/sshd: root [p
tcp 0 0 xxx.xx.xxx.xx:22 182.131.134.162:4015 ESTABLISHED 25866/sshd: root [p
tcp 0 200 xxx.xx.xxx.xx:22 yy.yyy.yy.yy:47887 ESTABLISHED 19397/3
(其中,xxx.xx.xxx.xx是服务器ip地址,yy.yyy.yy.yy是我的机器的地址。)
哇,这么多相同的地址,看来是有人试图从182.131.134.162来进行ssh登录,
到http://www.ip138.com/查下这个地址:
ip138.com IP查询(搜索IP地址的地理位置) |
您查询的IP:182.131.134.162 |
|
我现在要做的是禁止此地址访问:
[root@web ~]# iptables -I INPUT -s 182.131.134.162 -j DROP
[root@web ~]#
再来看看有没有
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4284 ESTABLISHED 26478/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4285 ESTABLISHED 26482/sshd: root [p
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4290 ESTABLISHED 26493/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4291 ESTABLISHED 26498/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4295 ESTABLISHED 26506/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4293 ESTABLISHED 26502/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4298 ESTABLISHED 26510/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4299 ESTABLISHED 26514/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4302 ESTABLISHED 26518/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4303 ESTABLISHED 26522/sshd: root [n
杀掉这些列出的进程
[root@web ~]# kill 26478 26482 26493 26498 26506 26502 26510 26514 26518 26522
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4284 ESTABLISHED 26481/sshd: root [n
tcp 0 84 xxx.xx.xxx.xx:22 182.131.134.162:4285 ESTABLISHED 26489/sshd: root [n
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]# kill 26481 26489
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4284 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4285 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]# netstat -anp | grep 182.131.134.162
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4284 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4285 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4290 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4291 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4295 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4293 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4298 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4299 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4302 FIN_WAIT1 -
tcp 0 85 xxx.xx.xxx.xx:22 182.131.134.162:4303 FIN_WAIT1 -
[root@web ~]#
[root@web ~]#
[root@web ~]#
[root@web ~]#
过一会再看一下:
[root@web ~]# netstat -anp | grep 182.131.134.162
[root@web ~]#
终于搞定了。ssh登录和sftp下文件都正常了。
再次列出关键命令,用于禁止某个ip地址访问服务器:
iptables -I INPUT -s 182.131.134.162 -j DROP
更多相关的做法参见
iptables封ip段linux http://profile.8j.com/question/113/40/840.htm
转载本文请注明出处:http://codingstandards.iteye.com/blog/1299936
评论
关键是思路
对
关键是思路
发表评论
-
Linux下怎样查找包含**的文件
2013-02-20 15:25 11517在Linux下,查找包含字符串的文件使用的命令是grep。如 ... -
在Linux下比较两个目录需要忽略某些文件时怎么做?
2013-01-10 22:18 5355在Linux下如果要比较两个目录,可以使用dif ... -
为什么在crontab中使用ntpdate同步时间无效?
2012-07-30 09:41 12773在一台 VirtualBox 上安装的 CentOS 5.8 ... -
双线云主机不能访问远程服务的问题解决记录
2012-06-13 13:59 3000双线云主机不能访问远程服务的问题解决记录 新购置的双线云主机 ... -
谁动了我的sshd(消失的sshd,诡异)(+真相)
2012-06-11 15:33 24927消失的sshd 上午一直登录在一台远程Linux服务器上 ... -
在Linux下怎么看网络流量?方法太多了
2012-05-26 14:46 175765在Linux下怎么看网络流 ... -
怎样使用rpm命令一次性删除依赖的软件包
2012-05-20 06:58 26429怎样使用rpm命令一次性删除依赖的软件包 搜索了一下网络,发 ... -
别忘了在disown之前执行bg命令,否则进程会一直stopped
2012-02-16 17:50 5959别忘了在disown之前执行bg命令,否则进程会一直stopp ... -
在Linux下怎样将光盘转储为iso镜像文件
2011-11-10 09:35 5562问题:在Linux下怎样将光盘转储为iso镜像文件? ... -
在Linux下怎样让top命令启动之后就按内存使用排序(或CPU使用排序)?
2011-11-01 17:01 5827在Linux下怎样让top命令 ... -
在Linux下列出包含指定字符串或正则表达式的文件名
2011-11-01 11:05 4261在Linux下包含指定字符串或正则表达式的文件(仅列出文件名) ... -
在Linux下怎样安装rarlinux?
2011-10-31 13:49 4218在Linux下怎样安装rarlinux? 本文是“我使用过的 ... -
E138: 不能写入 viminfo 文件 /root/.viminfo
2011-09-25 13:08 14531E138: 不能写入 viminfo 文件 /root/.vi ...
相关推荐
文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎文件粉碎
易语言超级粉碎文件源码,超级粉碎文件,取文件名,取文件目录,粉碎文件
粉碎文件 绿色工具 粉碎文件 绿色工具 粉碎文件 绿色工具
文件粉碎bat
很好用的文件夹粉碎机 很好用的文件夹粉碎机
可粉碎木马 可粉碎木马 可粉碎木马 可粉碎木马 可粉碎木马
非常好用的文件粉碎机支持右键粉碎功能,关键还是绿色的哦!
易语言文件粉碎机源码,文件粉碎机,删除路径文件名_
粉碎字效果 flash
文件粉碎器,以前瑞星自带的工具单独提取出来的,可以作为文件消除的轻量工具,当然高度机密的文件请使用专业粉碎程序。
VB文件粉碎机
类似360的强力粉碎机,C#Winform版本的文件粉碎demo
超级文件粉碎机
文件粉碎机.exe
unity 切、粉碎工具包;unity 切、粉碎工具包;unity 切、粉碎工具包;
暴力 粉碎 文件 暴力 删除 文件 暴力 粉碎 文件 暴力 删除 文件 暴力 粉碎 文件 暴力 删除 文件
C# 粉碎文件类,处理清理正在使用的文件,结束进程,并使用handle.exe粉碎文件;handle.exe可自己下载!
360文件粉碎机可以粉碎不规则的文件夹及文件
可以粉碎顽固桌面图标 顽固桌面粉碎机 当你的桌面被恶意霸占时 用这个就能搞定他