服务器被攻破,求查找原因

2016-01-20 10:33:58 +08:00
 algas
RT
rc.local 文件被编辑, SElinux 被玩坏。

在装系统的时候有禁止 root 登录,限制 ssh 暴力破解,没有开web服务,没有开数据库,
然而系统还是悄无声息的被攻破了...
8995 次点击
所在节点    Linux
47 条回复
strwei
2016-01-20 18:25:39 +08:00
很简单, ssh 配置私钥和公钥
strwei
2016-01-20 18:28:03 +08:00
@ioiioi 直接扔个云盾上去看他们怎么玩
uFD794c0pT5847IQ
2016-01-20 21:07:19 +08:00
封闭所有端口, 除了必须公开的.
Cu635
2016-01-20 21:30:49 +08:00
这服务器是你自己一个人用的,还是有别人有账号?
greenskinmonster
2016-01-20 21:32:02 +08:00
@knightlhs 改个 5 位数端口就好了。
selinaspy
2016-01-20 21:38:35 +08:00
用了 key+禁止密码登陆,暴力破就老老实实的了
jerkzhang
2016-01-21 00:15:00 +08:00
以后用 denyhosts 就行了,动态防止暴力破解。 google 开源出来的小工具。
canautumn
2016-01-21 02:58:28 +08:00
禁止 root 登录,禁止密码登录,改 ssh 端口号,就差不多了。
wxg4net
2016-01-21 07:52:38 +08:00
@ioiioi iptables 禁止外网访问 开启外网访问白名单 就可以消除症状了 然后查找问题 并解决。
另外这个好处就是 即使服务器别人攻破 也不容易下载木马到服务器上
Guenlay
2016-01-21 09:07:24 +08:00
突然想起很久以前汉化版 putty 后门的事情
@algas
realpg
2016-01-21 09:54:53 +08:00
@likuku
一天才 154 次?
重点机房 IP 段,一天 15400 次都不止
不改 ssh 端口就是噩梦……
likuku
2016-01-21 10:52:02 +08:00
@greenskinmonster 「改个 5 位数端口就好了。」只改端口?别逗了,安慰剂不能滥用。
greenskinmonster
2016-01-21 11:06:13 +08:00
@likuku 看上下文语境啊,这位。除非有人定点攻击你。否则的话,改个 5 位数端口,就能避免 99%的弱口令扫描。那种无脑扫描的不会把时间浪费在一个 IP 上面。
abc123ccc
2016-01-21 12:53:18 +08:00
@keinx 换个 SSH 端口呀。
skyworker
2016-01-21 13:45:22 +08:00
@likuku 如果你的服务器被人盯上了,不仅改端口没用,甚至你连只允许私钥登录都没用(0day 的后门多着哪,鬼才知道 Linux 有那些还没有被曝光的 oday 漏洞?)

但是一般情况下,你只改改 ssh 端口,的确能避免很多人的攻击.
nekoyaki
2016-01-21 14:29:13 +08:00
我就说一个帖子里还没提到的:如果你有 redis ,并且以高权限的身份运行,还对外暴露了,那么可以通过 redis 持久化的方式,向指定路径写一个公钥,这样攻击者拿着对应的私钥就能直接 ssh 你的机器了。
gjflsl
2016-01-21 21:36:54 +08:00
建议日志专门用一台机器,把所有日志都集中收集起来,起码也方便以后查问题。
lightening
2016-01-22 05:16:16 +08:00
无任何线索,会不会是 heartbleed ?
algas
2016-03-07 20:30:37 +08:00
最近观察了一下服务器的情况,顺便等计算任务结束,回复大家晚了很抱歉。
我会在附言里讲讲后来的处置,给故事结个尾。

@Guenlay
我们也是猜可能是某个普通用户的密码泄漏了,然后被本地提权。

@nekoyaki
你提供的思路开阔眼界了,不过机器上没有开 redis 或类似的服务。

@lightening
据说 heartbleed 不会导致 ssh 密钥泄漏
lightening
2016-03-07 21:02:58 +08:00
@algas  你有泄露秘钥吗?我看你描述,有人非法登录的你的服务器而已,并不一定获取了你的私钥。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/252017

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX