这是一个创建于 3215 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT
rc.local 文件被编辑, SElinux 被玩坏。
在装系统的时候有禁止 root 登录,限制 ssh 暴力破解,没有开web服务,没有开数据库,
然而系统还是悄无声息的被攻破了...
rc.local 文件被编辑, SElinux 被玩坏。
在装系统的时候有禁止 root 登录,限制 ssh 暴力破解,没有开web服务,没有开数据库,
然而系统还是悄无声息的被攻破了...
第 1 条附言 · 2016-03-07 20:58:05 +08:00
前几天我们发现受到影响的机器不只一台,另外一台被人用来扫描机器。根据进程找到了相应的文件,所以知道它大概在做什么。因为没有办法干净的删除这个用户,删掉后就会很快再建立一个。
所以最近就把机器重装了,设置了每天两次的定时更新任务,主要是避免本地提权。指望补丁出的快,汉子祈祷中...
ssh 防暴力破解改用了 fail2ban
ssh 禁止 root 登录
sudo 用户登录密码升级到 12 位以上的随机密码, root 密码真正的加丧心病狂...
sudo 用户本地私钥重新成生,防止 ssh-server 被替换成有漏洞版本带来的问题
ssh 端口没有改,也没有限制只用密钥登录,考虑到大多用户对 linux 都很不熟悉。
所以最近就把机器重装了,设置了每天两次的定时更新任务,主要是避免本地提权。指望补丁出的快,汉子祈祷中...
ssh 防暴力破解改用了 fail2ban
ssh 禁止 root 登录
sudo 用户登录密码升级到 12 位以上的随机密码, root 密码真正的加丧心病狂...
sudo 用户本地私钥重新成生,防止 ssh-server 被替换成有漏洞版本带来的问题
ssh 端口没有改,也没有限制只用密钥登录,考虑到大多用户对 linux 都很不熟悉。
第 2 条附言 · 2016-03-11 23:50:37 +08:00
 |
1
paw 2016-01-20 10:40:49 +08:00
key 登录 + OTP
然后开端口的服务都 nobody 下跑 看还怎么被黑 |
 |
2
pheyer 2016-01-20 10:44:06 +08:00
你怎么发现服务器被攻破的?就凭 rc.local 文件?
|
 |
4
airqj 2016-01-20 11:12:45 +08:00
连日志都没有
让大伙怎么查? |
 |
5
sunsh217 2016-01-20 11:25:34 +08:00
第一,只开 web 端口,第二, ssh 端口只对固定 ip 开放。第三,上传文件也只通过 ssh 端口上传。 结束。
|
 |
6
Guenlay 2016-01-20 11:32:23 +08:00
是攻破还是你机子中马了
|
 |
7
lyragosa 2016-01-20 12:01:27 +08:00
你怎么发现的?
被害妄想症患者表示很想知道。 |
 |
8
vicesa 2016-01-20 12:17:07 +08:00
是不是用非官网下载的 putty
|
 |
9
greenskinmonster 2016-01-20 12:36:18 +08:00
有没有关掉用户名密码登录?
|
 |
10
initialdp 2016-01-20 13:19:03 +08:00  1
fail2ban 走起。
|
 |
11
algas OP |
|
12
algas OP @greenskinmonster 没有关掉密码登录,只是禁用了 root
@vicesa 这个可能性很高,有很多普通用户都是小白, windows 下的软件很不注意的,我回头要强调一下 不过我们几个管理员都是用的 linux ,密码泄露的风险很小,普通用户提权应该很困难吧,用的 centos 系统,也有按时更新的。 |
 |
14
keinx 2016-01-20 14:19:01 +08:00
开启了阿里云盾,一天收到 20 多个暴力破解预警~~~现在扫描的人真多呀!
|
 |
15
likuku 2016-01-20 14:23:41 +08:00
@algas 「没有关掉密码登录,只是禁用了 root 」.... 公网机器一律禁止密码认证,关闭 PAM ,只许可 key 认证。
开了密码认证,不排除有用户使用弱(智)密码 /自行修改为弱密码 的可能性。 |
 |
16
cheng007 2016-01-20 14:43:21 +08:00
我遇到过一次,原因最后查出是我们的 root 密码太简单了,被人扫描出来了
|
|
17
likuku 2016-01-20 15:10:21 +08:00
顺手查了下办公室里一台作为连接局端网络和自有公网段路由器的 debian , auth.log 昨天一天有 154 次 ssh 错误登录( 不存在的用户),给扫描用的 ssh 用户名排序,前 10 位列表:
7 oracle 6 git 5 admin 5 a 4 test 3 ubuntu 3 sergeev 3 r00t 3 postgres 3 nagios |
 |
18
knightlhs 2016-01-20 17:27:53 +08:00
我的服务器每天都有弱口令扫描
drop 列表已经长的看不下去了 扫描就扫描吧 反正错 2 次就封 2 周 我就不信能猜到密码 |
 |
19
ioiioi 2016-01-20 18:11:10 +08:00
各位,我有个 kvm vm 被攻破了,我还不确定是被中木马还是其它,一开机就疯狂的向外发流量,估计是做 ddos ,所以我不敢开机,但是我可以使用 guestmount 来挂载这个 vm 的 image ,这种情况下该如何检查。
|
 |
20
scys 2016-01-20 18:16:33 +08:00
我不明白:为什么要开密码登录?
你们密码长度直接 4096 位长度? |
 |
21
strwei 2016-01-20 18:25:39 +08:00
很简单, ssh 配置私钥和公钥
|
 |
23
uFD794c0pT5847IQ 2016-01-20 21:07:19 +08:00
封闭所有端口, 除了必须公开的.
|
 |
24
Cu635 2016-01-20 21:30:49 +08:00
这服务器是你自己一个人用的,还是有别人有账号?
|
|
25
greenskinmonster 2016-01-20 21:32:02 +08:00
@knightlhs 改个 5 位数端口就好了。
|
 |
26
selinaspy 2016-01-20 21:38:35 +08:00
用了 key+禁止密码登陆,暴力破就老老实实的了
|
 |
27
jerkzhang 2016-01-21 00:15:00 +08:00
以后用 denyhosts 就行了,动态防止暴力破解。 google 开源出来的小工具。
|
 |
28
canautumn 2016-01-21 02:58:28 +08:00
禁止 root 登录,禁止密码登录,改 ssh 端口号,就差不多了。
|
 |
29
wxg4net 2016-01-21 07:52:38 +08:00
@ioiioi iptables 禁止外网访问 开启外网访问白名单 就可以消除症状了 然后查找问题 并解决。
另外这个好处就是 即使服务器别人攻破 也不容易下载木马到服务器上 |
|
32
likuku 2016-01-21 10:52:02 +08:00
@greenskinmonster 「改个 5 位数端口就好了。」只改端口?别逗了,安慰剂不能滥用。
|
|
33
greenskinmonster 2016-01-21 11:06:13 +08:00
@likuku 看上下文语境啊,这位。除非有人定点攻击你。否则的话,改个 5 位数端口,就能避免 99%的弱口令扫描。那种无脑扫描的不会把时间浪费在一个 IP 上面。
|
 |
35
skyworker 2016-01-21 13:45:22 +08:00
@likuku 如果你的服务器被人盯上了,不仅改端口没用,甚至你连只允许私钥登录都没用(0day 的后门多着哪,鬼才知道 Linux 有那些还没有被曝光的 oday 漏洞?)
但是一般情况下,你只改改 ssh 端口,的确能避免很多人的攻击. |
 |
36
nekoyaki 2016-01-21 14:29:13 +08:00
我就说一个帖子里还没提到的:如果你有 redis ,并且以高权限的身份运行,还对外暴露了,那么可以通过 redis 持久化的方式,向指定路径写一个公钥,这样攻击者拿着对应的私钥就能直接 ssh 你的机器了。
|
 |
37
gjflsl 2016-01-21 21:36:54 +08:00
建议日志专门用一台机器,把所有日志都集中收集起来,起码也方便以后查问题。
|
 |
38
lightening 2016-01-22 05:16:16 +08:00
无任何线索,会不会是 heartbleed ?
|
|
39
algas OP 最近观察了一下服务器的情况,顺便等计算任务结束,回复大家晚了很抱歉。
我会在附言里讲讲后来的处置,给故事结个尾。 @Guenlay 我们也是猜可能是某个普通用户的密码泄漏了,然后被本地提权。 @nekoyaki 你提供的思路开阔眼界了,不过机器上没有开 redis 或类似的服务。 @lightening 据说 heartbleed 不会导致 ssh 密钥泄漏 |
|
40
lightening 2016-03-07 21:02:58 +08:00
@algas 你有泄露秘钥吗?我看你描述,有人非法登录的你的服务器而已,并不一定获取了你的私钥。
|
|
41
algas OP @lightening
最近 ssh-client 爆出了一个漏洞,这个漏洞貌似可以使一台恶意配置的 ssh 服务器获取连接到这个 ssh-server 的计算机内存内容,获取用户用于 SSH 连接的私钥。 如果对方替换了服务器的 ssh-sever 程序,就有可能利用这个漏洞获得的私钥。 |
|
42
lightening 2016-03-08 06:43:10 +08:00
我说:可能是 heartbleed
你说: heartbleed 不会导致泄露私钥 我说:你并没有说你泄露了私钥,所以不能排除 heartbleed 的可能。 然后你的回复和话题好像是无关的? |
|
43
algas OP |
|
44
lightening 2016-03-09 17:47:53 +08:00
@algas 哦,原来是这样。既然服务器已经 compromise 了,那就肯定要彻底清空重装了。
|
 |
45
asddsa 2016-03-10 22:54:13 +08:00
给你一次免费安全咨询:
1.Web 后门找到了没 2.找到入侵者的入口了没 3.还原攻击环节很重要 4.重装了但是你的内核版本升级了没,一般都有提权漏洞 5.跟 4 一个意思,“飞塔”查一下是什么 6.入口,入口很重要,看你的描述你的服务器已经成了一个马场 |
|
46
algas OP |
 |
47
shizzmk 2016-03-12 14:09:18 +08:00
爲何不用密鑰?
|
Select Language