服务器被攻破,求查找原因

2016-01-20 10:33:58 +08:00
 algas
RT
rc.local 文件被编辑, SElinux 被玩坏。

在装系统的时候有禁止 root 登录,限制 ssh 暴力破解,没有开web服务,没有开数据库,
然而系统还是悄无声息的被攻破了...
8992 次点击
所在节点    Linux
47 条回复
paw
2016-01-20 10:40:49 +08:00
key 登录 + OTP
然后开端口的服务都 nobody 下跑
看还怎么被黑
pheyer
2016-01-20 10:44:06 +08:00
你怎么发现服务器被攻破的?就凭 rc.local 文件?
algas
2016-01-20 10:54:52 +08:00
@pheyer
rc.local 被修改就够严重了吧,何况还被添加了一条下载并执行未知程序的一行。
airqj
2016-01-20 11:12:45 +08:00
连日志都没有
让大伙怎么查?
sunsh217
2016-01-20 11:25:34 +08:00
第一,只开 web 端口,第二, ssh 端口只对固定 ip 开放。第三,上传文件也只通过 ssh 端口上传。 结束。
Guenlay
2016-01-20 11:32:23 +08:00
是攻破还是你机子中马了
lyragosa
2016-01-20 12:01:27 +08:00
你怎么发现的?

被害妄想症患者表示很想知道。
vicesa
2016-01-20 12:17:07 +08:00
是不是用非官网下载的 putty
greenskinmonster
2016-01-20 12:36:18 +08:00
有没有关掉用户名密码登录?
initialdp
2016-01-20 13:19:03 +08:00
fail2ban 走起。
algas
2016-01-20 13:29:24 +08:00
@airqj last 里没有看到异常登录,其他的我也不知道该去看什么了。。。

@sunsh217 除了第二条都有做,固定 ip 开放不太可行,但是有限制密码尝试次数。

@Guenlay
@lyragosa
不知道算是哪种,我只是知道 root 才能修改的文件被改动了,修改结果是自动下载并执行了一个文件。昨天系统出了奇怪的问题,所有用户都无法登录,显示 permission denial ,貌似是 SELinux 被玩坏了的原因,修改了/的权限并关闭了 SELinux 才解决问题。
@paw 啊,这个,它只是个计算服务器
algas
2016-01-20 13:36:27 +08:00
@greenskinmonster 没有关掉密码登录,只是禁用了 root

@vicesa 这个可能性很高,有很多普通用户都是小白, windows 下的软件很不注意的,我回头要强调一下

不过我们几个管理员都是用的 linux ,密码泄露的风险很小,普通用户提权应该很困难吧,用的 centos 系统,也有按时更新的。
algas
2016-01-20 13:39:30 +08:00
@initialdp 晚上我去试试,非常有用的信息。
keinx
2016-01-20 14:19:01 +08:00
开启了阿里云盾,一天收到 20 多个暴力破解预警~~~现在扫描的人真多呀!
likuku
2016-01-20 14:23:41 +08:00
@algas 「没有关掉密码登录,只是禁用了 root 」.... 公网机器一律禁止密码认证,关闭 PAM ,只许可 key 认证。

开了密码认证,不排除有用户使用弱(智)密码 /自行修改为弱密码 的可能性。
cheng007
2016-01-20 14:43:21 +08:00
我遇到过一次,原因最后查出是我们的 root 密码太简单了,被人扫描出来了
likuku
2016-01-20 15:10:21 +08:00
顺手查了下办公室里一台作为连接局端网络和自有公网段路由器的 debian , auth.log 昨天一天有 154 次 ssh 错误登录( 不存在的用户),给扫描用的 ssh 用户名排序,前 10 位列表:

7 oracle
6 git
5 admin
5 a
4 test
3 ubuntu
3 sergeev
3 r00t
3 postgres
3 nagios
knightlhs
2016-01-20 17:27:53 +08:00
我的服务器每天都有弱口令扫描
drop 列表已经长的看不下去了 扫描就扫描吧 反正错 2 次就封 2 周 我就不信能猜到密码
ioiioi
2016-01-20 18:11:10 +08:00
各位,我有个 kvm vm 被攻破了,我还不确定是被中木马还是其它,一开机就疯狂的向外发流量,估计是做 ddos ,所以我不敢开机,但是我可以使用 guestmount 来挂载这个 vm 的 image ,这种情况下该如何检查。
scys
2016-01-20 18:16:33 +08:00
我不明白:为什么要开密码登录?
你们密码长度直接 4096 位长度?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/252017

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX