【阿里云】异常登录

排查步骤：

1，切到root（root用户的密码强度要高）；last查看最近登录用户；

2，who查看当前登录用户，以查看当前是否在登录；关心异常登录的用户名；

通过1,2就能够知道异常登录中黑客使用的登录用户名，和登录ip。

 

【防范措施】

1，禁止相关ip登录，用iptables实现；

2，修改黑客使用的登录用户的密码，调高密码等级防止继续被入侵；

 

【更多操作】

1，查看黑客使用的命令，先查看下时间：ls -la /home/{user}/.bash_history；

2，如果时间是最近修改过，那么cat 或者 cp等拷贝到其它文件中，再用vim打开，查看黑客执行了什么操作，针对这些操作需要做些防范措施，比如修改文件夹的访问权限，删除恶意的cron脚本等等

 

【iptables使用说明】

 

添加规则：
iptables -t filter -A INPUT -s 47.93.19.0/24 -p tcp --dport 22 -j REJECT
解释：
-t指明使用过滤器
-A INPUT表示append一个INPUT规则到最后
-s ip表示要操作的是哪个ip段
-p tcp表示操作的是tcp还是udp
-dport 22表示操作的是目的端口22
-j REJECT表示操作类型是拒绝

查看所有的规则：
iptables -nvL

查看规则对应的编号:
iptables  --line-number -nL

删除不想要的规则：
iptables -D INPUT [num]
-D是删除操作，INPUT是类型，num是刚才用编号命令查到规则对应的编号

类型包括：INPUT，OUTPUT, FORWARD