服务器被攻破,求查找原因

2016-01-20 10:33:58 +08:00
 algas
RT
rc.local 文件被编辑, SElinux 被玩坏。

在装系统的时候有禁止 root 登录,限制 ssh 暴力破解,没有开web服务,没有开数据库,
然而系统还是悄无声息的被攻破了...
8995 次点击
所在节点    Linux
47 条回复
algas
2016-03-08 00:24:08 +08:00
@lightening
最近 ssh-client 爆出了一个漏洞,这个漏洞貌似可以使一台恶意配置的 ssh 服务器获取连接到这个 ssh-server 的计算机内存内容,获取用户用于 SSH 连接的私钥。
如果对方替换了服务器的 ssh-sever 程序,就有可能利用这个漏洞获得的私钥。
lightening
2016-03-08 06:43:10 +08:00
我说:可能是 heartbleed
你说: heartbleed 不会导致泄露私钥
我说:你并没有说你泄露了私钥,所以不能排除 heartbleed 的可能。

然后你的回复和话题好像是无关的?
algas
2016-03-08 23:16:51 +08:00
@lightening
你说不一定获取了私钥,
我理解成你问我为什么要重新生成本地的私钥(在附言里讲的那个),

所以我就解释了一下对方可能在获得 root 权限后把 ssh-server 换了。
lightening
2016-03-09 17:47:53 +08:00
@algas 哦,原来是这样。既然服务器已经 compromise 了,那就肯定要彻底清空重装了。
asddsa
2016-03-10 22:54:13 +08:00
给你一次免费安全咨询:
1.Web 后门找到了没
2.找到入侵者的入口了没
3.还原攻击环节很重要
4.重装了但是你的内核版本升级了没,一般都有提权漏洞
5.跟 4 一个意思,“飞塔”查一下是什么
6.入口,入口很重要,看你的描述你的服务器已经成了一个马场
algas
2016-03-11 23:49:48 +08:00
@scys
因为有很多人都了解和 linux 相关的事情,改成密钥登陆他们会比较费劲。

从安全角度来说,由于他们也基本不会改密码了,所以在实际使用上 10 位随机密码也不比密钥登陆危险太多
shizzmk
2016-03-12 14:09:18 +08:00
爲何不用密鑰?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/252017

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX