V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
outcast
V2EX  ›  Linux

各位技术大牛,我遇上一个无法解决的VPS安全问题,急求付费的支援

  •  1
     
  •   outcast · 2013-09-08 13:20:28 +08:00 · 5577 次点击
    这是一个创建于 4123 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近半个月被网站折磨的无法入睡,具体情况就是网站被黑,我使用的是linode的VPS.连linode后台密码都会失效,重置密码才能上,后台发TICK又得不到啥有用的回答,在后台重装了CentOS,什么端口密码都修改,也没用。过了两天linode后台密码又失效,网站也打不开。我怕电脑有木马。连电脑都重装了,再重装linode,结果刚才密码又失效了,网站又被黑。我真的有点无法相信,是不是有其他办法修改这个密码?我真的没有任何办法来阻止这个人了。我现在关机等待救援,当然是付费的,请各位大牛见到这个主题后给我帮助。

    不知道能留QQ吗:89211717
    太着急了,各位见谅
    32 条回复    1970-01-01 08:00:00 +08:00
    sophy
        1
    sophy  
       2013-09-08 13:25:42 +08:00   ❤️ 1
    别用密码啊!公钥登录不行?
    xunyu
        2
    xunyu  
       2013-09-08 13:28:21 +08:00   ❤️ 1
    你能定位是通过什么黑进去的不?
    outcast
        3
    outcast  
    OP
       2013-09-08 13:30:37 +08:00
    真的不知道,我是一个小白。请问可以加我QQ吗?急疯了已经被
    usbaby
        4
    usbaby  
       2013-09-08 13:32:59 +08:00
    有部分putty客户端是被挂马的
    lichao
        5
    lichao  
       2013-09-08 13:34:46 +08:00 via iPhone
    可能是你网站有漏洞,导致被入侵
    outcast
        6
    outcast  
    OP
       2013-09-08 13:41:01 +08:00
    请问可以看看我的网站是不是有漏洞吗?
    alphamm
        7
    alphamm  
       2013-09-08 13:48:19 +08:00
    邮箱的密码、密码提示问题改过吗?
    anheiyouxia
        8
    anheiyouxia  
       2013-09-08 13:49:27 +08:00
    其实这种入侵分析,有日志都可能需要花费不少的时间,没日志的话真的很难说。如同4楼所说的,putty也是有被挂马的可能性的。
    如果你VPS所有相关的密码都一样,那把Linode后台密码都改了这个就真没什么了。如果不一样,你看看是不是你的邮箱什么的被入侵了。通过Linode后台是可以重置root密码的,通过后台也可以直接进入到VPS的Shell(改端口设置屏蔽所有IP和端口都没用的)。
    如果你要让我猜的话,你Linode后台或者是绑定的邮箱被入侵的可能性最大
    vking
        9
    vking  
       2013-09-08 13:50:24 +08:00 via Android
    不是邮箱的问题?
    DreaMQ
        10
    DreaMQ  
       2013-09-08 14:43:06 +08:00 via Android
    先别用linode,换成其他服务商(当然邮箱、密码都要全新)试试,以确定是不是linode被黑
    manoon
        11
    manoon  
       2013-09-08 14:46:13 +08:00
    uname:12ccb689549a2702
    pwd:
    port:2212
    maoyipeng
        12
    maoyipeng  
       2013-09-08 22:15:46 +08:00
    现在咋样了?
    manoon
        13
    manoon  
       2013-09-08 22:15:51 +08:00
    ftpd4t4
    ftpc4st
    winsyka
        14
    winsyka  
       2013-09-08 23:17:22 +08:00   ❤️ 1
    putty挂马的那个dll注入的方法对于windows xp以下的可用,如果是windows 7或者更高的版本因为加入了dllcache安全保护机制,默认是无法执行这个putty dll注入木马的,我之前做过分析过这个木马。

    其次被黑可以找找linode的客服咨询下情况,问问账户登录地址以及做了哪些操作。
    其次把网站上的代码全部拉下来,对比下和本地看哪些文件有被改动或者本地不存在而远程存在;
    其次把web log拉下来,对比被黑时间段的操作, 看攻击者对你的站点都做了哪些操作。
    其次把所有的代码都拉下来,用检测webshell的方式对其进行一次扫描;
    linode本身操作系统存在问题的可能性比较小,具体情况可按照我上边说的自己查一遍,查不出来再说。
    Nin
        15
    Nin  
       2013-09-09 00:14:48 +08:00
    VPS不建议采用Root密码登陆。最好用Key。
    Nin
        16
    Nin  
       2013-09-09 00:15:55 +08:00
    不过Linode后台都被改的话,查查自身的系统有没有问题,我的意思是最好换台电脑或者换个地方。
    likuku
        17
    likuku  
       2013-09-09 00:26:35 +08:00
    ssh对公网开放的,只允许pub_key认证,其它统统拒绝。
    likuku
        18
    likuku  
       2013-09-09 00:27:29 +08:00
    putty 什么的,只从官网下载,并且作md5/sha/gnupg验证。
    outcast
        19
    outcast  
    OP
       2013-09-09 01:03:32 +08:00   ❤️ 1
    我回顾下这几天的情况,可能因为我是小白,估计这里面的操作或是细节造成被黑。但是我确实想不明白。10多天前先是发现网站被黑,我重装环境后,过不了几天又被黑,这次是网站数据被删除。我再重装环境,把能改的密码能改的端口,全部改掉,过了几天web继续被黑。root密码被改,进linode后台没法进去,重制了密码进去,问客服,有不是本人IP登录进去过。具体做过什么没有日志可以查看,这一次我已经怀疑本机被入侵了。把本人的电脑系统重装后,用的putty也是官网下载的英文版(系统是win7)再次重新配置环境。配好睡觉,第二天10点过,服务器再次被入侵,linode后台密码再次失效。重置密码后才进入后台,我很怀疑这个后台密码失效不是因为密码泄露,v2ex的朋友说可能是linode的安全机制问题。异地登录过多或是暴力破解,后台密码会暂时失效,后台的客服经常答非所问,也没法验证这个说法。我也感觉可能不是密码泄露造成,如果泄露了他完全可以在后台更改我的安全邮箱,因为更改密码是不需要邮箱验证的。
    fanwei
        20
    fanwei  
       2013-09-09 01:49:18 +08:00
    应该是你的网站程序本身有漏洞,只要你网站一上线他就来了。
    infong
        21
    infong  
       2013-09-09 07:45:42 +08:00 via iPhone
    1、程序本身有漏洞;
    2、Linode 有提供 API 的,看看是不是 API 的 KEY 泄漏了;
    3、是不是 term client 有问题。
    shenyuzhi
        22
    shenyuzhi  
       2013-09-09 08:51:23 +08:00 via Android
    不要用root登录,也不要用密码,用key。我的vps就一直被人猜密码,一秒猜两次。
    web服务器新建一个普通帐户运行。网站有漏洞不应该导致服务器被黑。
    nonozone
        23
    nonozone  
       2013-09-09 09:45:08 +08:00
    说实话Lindode我也用过好几回,每次都是里面只放了一个没有流量测试用的wp,放在那里半个月左右不管他,linode就提示我磁盘爆满,我ssh已经进不去了,到后台发现上传下载流量非常大,并且磁盘确实满了!以前我也怀疑putty中文版的问题,后来全部英文版,同样出现这个问题。如果是我个人的技术问题,我使用其他的vps从来没出现过类似问题,不管是使用习惯以及机器配置都是一模一样,其他的vps不管是网站还是服务器都没有入侵的迹象。

    所以我个人只能怀疑linode目标太大,肯定有人常年扫描。后来我就再也没用过linode了。
    winsyka
        24
    winsyka  
       2013-09-09 10:38:56 +08:00
    @outcast

    我觉得你的看法有点不对,黑客没那么神奇,想黑你总是有途径的,有的时候只是因为被眼前的知识面左右了看不到全局而已,按照我说的做一遍,估计可以找到黑客。
    cj1324
        25
    cj1324  
       2013-09-09 10:46:57 +08:00
    @outcast 把网站地址公布一下,说不定有人黑进去了 还告诉你一声。。
    Feobe
        26
    Feobe  
       2013-09-09 12:46:18 +08:00
    网站已经这样了,网址就公布下吧。
    mongodb
        27
    mongodb  
       2013-09-09 12:51:06 +08:00
    社工了 亲
    kurtrossel
        28
    kurtrossel  
       2013-09-09 16:37:10 +08:00
    除了putty有被挂马的可能,winscp某些版本也是带马的

    邮箱被爆的可能性也比较大,检查一下邮箱有没有被绑定其他备用邮箱,然后改强密码、绑定手机验证什么的
    coosir
        29
    coosir  
       2013-09-09 16:54:40 +08:00
    嗯,先增强下注册邮箱的安全性
    ko
        30
    ko  
       2013-09-09 17:11:28 +08:00
    中文的putty还是少用,尽量去官方下载原版的!
    lvye
        31
    lvye  
       2013-09-09 17:18:04 +08:00
    很简单的道理,你的网站已经有后门在了,你重装系统是没用的。
    你可以本地装个安全狗扫一下,实在不行,数据备份,把网站重装一下。
    manoon
        32
    manoon  
       2013-09-09 20:30:16 +08:00
    @shenyuzhi

    严重同意。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2768 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:29 · PVG 17:29 · LAX 01:29 · JFK 04:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.