我又来了, Linux 服务器关了 ssh 密码登录都还被入侵

2018-08-31 19:10:47 +08:00
 doufenger

上次发过一个求助贴 https://www.v2ex.com/t/480799#reply40,得到一些预防的思路后我就换了服务器。新服务器 FTP 不开,SSH 登录都不开,mysql 等所有的密码都用不同随机难暴力破的,结果好了一段时间后现在还是被入侵了。无奈啊,现在都不知道怎么办了。如果非要找个锅的话,会不会是因为用了 wdcp 环境呢。。

8578 次点击
所在节点    Linux
35 条回复
ChristopherWu
2018-08-31 19:31:26 +08:00
好奇一下,ssh 登录都不开,那你怎么登上去的?
liangzi
2018-08-31 19:34:51 +08:00
fail2ban 你值得拥有...
DigitalE
2018-08-31 19:34:51 +08:00
@ChristopherWu 是密匙吧
haimall
2018-08-31 19:36:24 +08:00
血的教训,自己搭环境。或者 lnmp 套
Everyman
2018-08-31 19:39:18 +08:00
最近开了一台腾讯云学生机,每天都有大量的其它机器尝试 ssh,然后我限制特定的 ip 段才可以 ssh 就安静了。其它机器尝试 ssh 直接拒绝掉,没有暴力破解密码的机会。
在 /etc/hosts.allow 和 /etc/hosts.deny 设置。
yichinzhu
2018-08-31 19:45:53 +08:00
你的网站有漏洞,网站地址呢,不给怎么定位问题
ihciah
2018-08-31 19:49:48 +08:00
比如要是你装了 dedecms。。。(手动狗头
torment5524
2018-08-31 20:02:52 +08:00
crontab /etc/crontab 看下有没有其他的定时任务。我接手的一个服务器就是被之前的工程师在里面挂任务,凌晨定时替换密钥文件,半小时后再换回去的;
netstat -nltup 查看本机开放了哪些端口服务,防火墙只允许通过业务使用的端口
查看本机是否被添加了用户,调整用户权限。
阿里云之类的话,需要做好账号保护,再就是你是否设定了账户的管理 key,然后写在代码 /app 里,然后被拿到。

再就是各种默认管理配置链接都是有人扫的,如果你开放了访问权限,仍然是坑,应用的部分不需要客户访问的要做好目录权限。
582033
2018-08-31 20:30:35 +08:00
比如没加认证的 redis
opengps
2018-08-31 21:27:58 +08:00
推测是你的网站本身漏洞,正如前几楼提过的通用型 cms
kernel
2018-08-31 23:51:55 +08:00
正确设置下系统本身的软件如 ssh/ftp 什么的漏洞几乎不可能,有也不会用到你这样的小站。
基本还是你用什么漏洞多的应用了吧,比如国人写的 php cms
pythonee
2018-09-01 00:19:37 +08:00
我其实挺感兴趣这些服务器漏洞的攻击和防御的。
glouhao
2018-09-01 00:41:27 +08:00
我用过一段 dhcp,会卡死,换是 lnmp 省心多了。一直以为我这种没流量的网站不用管安全问题,上次查了日志,赶紧禁用了 root 直接登录,加了 fail2ban。之前 wp 模板中过招,尽量自己写主题,别用乱踢八糟插件。其他 cms(织梦除外),只用官方东西应该也一样安全。
ynyounuo
2018-09-01 00:55:28 +08:00
重置系统然后先用 lynis 查查看?
WWd0g
2018-09-01 03:29:19 +08:00
一个一个排除嘛,如果是你 web 程序的问题,这得分析分析日志,找出具体是哪个文件哪行代码出的问题,然后把这个 bug 补上,然后在排查一下服务器自身的挂马情况,数据库挂马情况
daigouspy
2018-09-01 06:06:26 +08:00
用 cms 一定要经常更新版本
Dk2014
2018-09-01 08:21:04 +08:00
不要用面板
abccccabc
2018-09-01 10:10:28 +08:00
楼主,为啥不用宝塔呢? WDCP 已经死了,指不定人家知道 WDCP 的漏洞在哪里,直接使用漏洞进 WDCP 的后台,开 SSH,登录进去。或者你的网站程序有漏洞。这就没有办法了。修补漏洞吧。

楼主最好把日志文件放上来,供大家给你分析一下。
lscho
2018-09-01 10:16:05 +08:00
程序有漏洞,在环境上想保护起来太难了。。除非你能定位漏洞的类型和作用。。不过这样基本上也可以手动清除了
likuku
2018-09-01 12:26:14 +08:00
所以,技术或经验不足,还是别买服务器折腾了,直接买成熟大厂的托管服务了事,比如 Wordpress 就直接买 Wordpress 岛 卡姆 自家提供的服务什么。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/485028

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX