Debian中Telnet服务被攻击怎么办

Debian中Telnet服务遭遇攻击的处置与加固

一、立即止损

• 立刻阻断外网对23/TCP的访问：使用ufw执行sudo ufw deny 23/tcp，或在iptables执行sudo iptables -A INPUT -p tcp --dport 23 -j DROP，仅对受信任网段按需放行。随后执行sudo ufw enable使策略持久。
• 停止并禁用Telnet：若通过systemd套接字启用，执行sudo systemctl stop telnet.socket与sudo systemctl disable telnet.socket；若由xinetd托管，编辑/etc/xinetd.d/telnet将disable = yes并重启xinetd；若由inetd托管，执行sudo systemctl stop inetd && sudo systemctl disable inetd。
• 卸载Telnet服务软件包：sudo apt-get remove --purge telnetd（如曾安装）。
• 立即更新系统并重启相关服务：sudo apt update && sudo apt upgrade，随后重启SSH/系统以清除潜在被植入的持久化组件。

二、排查入侵痕迹

• 检查是否存在可疑账户与特权变更：grep -E '^(root|UID=0)' /etc/passwd、sudo grep -i 'sudo:' /var/log/auth.log、last -ai。
• 审查异常进程与网络连接：ps auxf、ss -tnp | grep ':23\b'，定位异常监听与已建立的Telnet会话。
• 检查定时任务与启动项：crontab -l -u root、grep -R "cron" /etc/ 2>/dev/null、systemctl list-timers --all、grep -R "@reboot" /etc/ 2>/dev/null。
• 分析认证与系统日志：sudo tail -n 200 /var/log/auth.log /var/log/syslog | egrep -i 'telnet|in.telnetd|invalid|fail|refused'，关注短时间内大量失败登录与来源IP。
• 若曾对外开放Telnet，建议同时审查其他常用入口（如SSH）是否存在暴力破解迹象，并核对/etc/hosts.allow、/etc/hosts.deny是否被篡改。

三、加固与替代方案

• 用SSH替代Telnet：安装并启用sudo apt install openssh-server && sudo systemctl start ssh && sudo systemctl enable ssh；在/etc/ssh/sshd_config中设置PermitRootLogin no、PubkeyAuthentication yes、PasswordAuthentication no、AllowUsers youruser，重启SSH生效。
• 仅允许受信任来源访问：在边界防火墙或本机防火墙中仅放行管理网段，例如ufw allow from 192.168.1.0/24 to any port 22，并对23/TCP保持拒绝。
• 强化系统与账户安全：执行apt update && apt upgrade保持补丁更新；通过PAM与账户策略实施强密码与登录限制；禁用不必要的服务与自启动项，减少攻击面。
• 如确因调试必须保留Telnet，务必仅在内网使用，并通过TCP Wrappers限制来源（在/etc/hosts.deny与/etc/hosts.allow中仅放行受控网段）。

四、持续监控与响应

• 持续关注认证日志：sudo tail -f /var/log/auth.log | egrep -i 'telnet|in.telnetd|fail|invalid'，发现异常立即封禁来源IP并复核系统完整性。
• 建立基线并定期审计：对/etc/passwd、/etc/shadow、/etc/ssh/sshd_config与关键目录（如/root、/usr/sbin）做哈希校验与定期比对；将防火墙规则与关键配置纳入变更管理。
• 加固完成后，保留最小暴露面：生产环境不建议长期开启Telnet，优先使用SSH并配合密钥登录与MFA。