各位技术大牛,我遇上一个无法解决的VPS安全问题,急求付费的支援

2013-09-08 13:20:28 +08:00
 outcast
最近半个月被网站折磨的无法入睡,具体情况就是网站被黑,我使用的是linode的VPS.连linode后台密码都会失效,重置密码才能上,后台发TICK又得不到啥有用的回答,在后台重装了CentOS,什么端口密码都修改,也没用。过了两天linode后台密码又失效,网站也打不开。我怕电脑有木马。连电脑都重装了,再重装linode,结果刚才密码又失效了,网站又被黑。我真的有点无法相信,是不是有其他办法修改这个密码?我真的没有任何办法来阻止这个人了。我现在关机等待救援,当然是付费的,请各位大牛见到这个主题后给我帮助。

不知道能留QQ吗:89211717
太着急了,各位见谅
5546 次点击
所在节点    Linux
32 条回复
sophy
2013-09-08 13:25:42 +08:00
别用密码啊!公钥登录不行?
xunyu
2013-09-08 13:28:21 +08:00
你能定位是通过什么黑进去的不?
outcast
2013-09-08 13:30:37 +08:00
真的不知道,我是一个小白。请问可以加我QQ吗?急疯了已经被
usbaby
2013-09-08 13:32:59 +08:00
有部分putty客户端是被挂马的
lichao
2013-09-08 13:34:46 +08:00
可能是你网站有漏洞,导致被入侵
outcast
2013-09-08 13:41:01 +08:00
请问可以看看我的网站是不是有漏洞吗?
alphamm
2013-09-08 13:48:19 +08:00
邮箱的密码、密码提示问题改过吗?
anheiyouxia
2013-09-08 13:49:27 +08:00
其实这种入侵分析,有日志都可能需要花费不少的时间,没日志的话真的很难说。如同4楼所说的,putty也是有被挂马的可能性的。
如果你VPS所有相关的密码都一样,那把Linode后台密码都改了这个就真没什么了。如果不一样,你看看是不是你的邮箱什么的被入侵了。通过Linode后台是可以重置root密码的,通过后台也可以直接进入到VPS的Shell(改端口设置屏蔽所有IP和端口都没用的)。
如果你要让我猜的话,你Linode后台或者是绑定的邮箱被入侵的可能性最大
vking
2013-09-08 13:50:24 +08:00
不是邮箱的问题?
DreaMQ
2013-09-08 14:43:06 +08:00
先别用linode,换成其他服务商(当然邮箱、密码都要全新)试试,以确定是不是linode被黑
manoon
2013-09-08 14:46:13 +08:00
uname:12ccb689549a2702
pwd:
port:2212
maoyipeng
2013-09-08 22:15:46 +08:00
现在咋样了?
manoon
2013-09-08 22:15:51 +08:00
ftpd4t4
ftpc4st
winsyka
2013-09-08 23:17:22 +08:00
putty挂马的那个dll注入的方法对于windows xp以下的可用,如果是windows 7或者更高的版本因为加入了dllcache安全保护机制,默认是无法执行这个putty dll注入木马的,我之前做过分析过这个木马。

其次被黑可以找找linode的客服咨询下情况,问问账户登录地址以及做了哪些操作。
其次把网站上的代码全部拉下来,对比下和本地看哪些文件有被改动或者本地不存在而远程存在;
其次把web log拉下来,对比被黑时间段的操作, 看攻击者对你的站点都做了哪些操作。
其次把所有的代码都拉下来,用检测webshell的方式对其进行一次扫描;
linode本身操作系统存在问题的可能性比较小,具体情况可按照我上边说的自己查一遍,查不出来再说。
Nin
2013-09-09 00:14:48 +08:00
VPS不建议采用Root密码登陆。最好用Key。
Nin
2013-09-09 00:15:55 +08:00
不过Linode后台都被改的话,查查自身的系统有没有问题,我的意思是最好换台电脑或者换个地方。
likuku
2013-09-09 00:26:35 +08:00
ssh对公网开放的,只允许pub_key认证,其它统统拒绝。
likuku
2013-09-09 00:27:29 +08:00
putty 什么的,只从官网下载,并且作md5/sha/gnupg验证。
outcast
2013-09-09 01:03:32 +08:00
我回顾下这几天的情况,可能因为我是小白,估计这里面的操作或是细节造成被黑。但是我确实想不明白。10多天前先是发现网站被黑,我重装环境后,过不了几天又被黑,这次是网站数据被删除。我再重装环境,把能改的密码能改的端口,全部改掉,过了几天web继续被黑。root密码被改,进linode后台没法进去,重制了密码进去,问客服,有不是本人IP登录进去过。具体做过什么没有日志可以查看,这一次我已经怀疑本机被入侵了。把本人的电脑系统重装后,用的putty也是官网下载的英文版(系统是win7)再次重新配置环境。配好睡觉,第二天10点过,服务器再次被入侵,linode后台密码再次失效。重置密码后才进入后台,我很怀疑这个后台密码失效不是因为密码泄露,v2ex的朋友说可能是linode的安全机制问题。异地登录过多或是暴力破解,后台密码会暂时失效,后台的客服经常答非所问,也没法验证这个说法。我也感觉可能不是密码泄露造成,如果泄露了他完全可以在后台更改我的安全邮箱,因为更改密码是不需要邮箱验证的。
fanwei
2013-09-09 01:49:18 +08:00
应该是你的网站程序本身有漏洞,只要你网站一上线他就来了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/81737

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX