debian-etch被非法login之后(转)[@more@] 晚上2点被客户的电话吵醒,server当掉了。tnnd,第一次被人这个时候吵醒。隧起来开机login server, ps aux看一下,一切正常阿。询问之。答曰:SIP服务不能正常使用了。check log, 噢,域名解析失败。查看 resolv.conf, 只有一个ip, ping之,不通。换之,隧将必须解析的域名直接写入/etc/hosts中。客户:好了,正常了。
刚准备下,习惯性的 lsof -i -n -P看一下,啊?!!居然多出个./xgcc, 啥玩意?last之,考,居然有test用户登录!kill之,vi /etc/passwd, 封之。xgcc, kill之。一切归于平静。开始检查系统。。。。
原来机器是前几天装的etch,装的时候创建了个test用户,被暴力破密码ssh进来的。然后在/var/tmp/下mkdir 了一个 ".work"目录,里面还有两个目录,一个是‘ ’(空格)一个‘....‘(4个点),真是有想法阿,呵呵。进去看看。一个是irc的机器人聊天工具,一个是ssh的攻击工具,看来已经被当肉鸡开始用了。今天ISP机房的人说,你们的机器昨天非法攻击别人的机器,dns等服务器封了。呵呵,原来如此。
总结:本次应算失误,由于server是客户装的,没有严格检查,应算工程失误。
经验教训:一般装服务器,看ssh最好封掉root的登录,创建一个用户给其sudo权限即可,同时配置ssh只允许该用户登录。当然,该用户的用户的用户名必须不常用,密码也要很复杂才可以。
我是对于那些所谓的"入侵检测系统"/firewall等东西不感冒的,总觉的代价太大,如果系统是自己作的,哪来那么多的漏洞可以利用阿。再说了,debian强大的升级功能就算发现了漏洞也很快就补上了,哪有那么巧你中彩票阿,呵呵。当然,不要的port最好少开。自己吃不准的程序最好少用后不用,一般私人的程序,开几个port没人知道怎么攻击的,呵呵,当然,除非有内鬼。故,管理非常重要。
刚准备下,习惯性的 lsof -i -n -P看一下,啊?!!居然多出个./xgcc, 啥玩意?last之,考,居然有test用户登录!kill之,vi /etc/passwd, 封之。xgcc, kill之。一切归于平静。开始检查系统。。。。
原来机器是前几天装的etch,装的时候创建了个test用户,被暴力破密码ssh进来的。然后在/var/tmp/下mkdir 了一个 ".work"目录,里面还有两个目录,一个是‘ ’(空格)一个‘....‘(4个点),真是有想法阿,呵呵。进去看看。一个是irc的机器人聊天工具,一个是ssh的攻击工具,看来已经被当肉鸡开始用了。今天ISP机房的人说,你们的机器昨天非法攻击别人的机器,dns等服务器封了。呵呵,原来如此。
总结:本次应算失误,由于server是客户装的,没有严格检查,应算工程失误。
经验教训:一般装服务器,看ssh最好封掉root的登录,创建一个用户给其sudo权限即可,同时配置ssh只允许该用户登录。当然,该用户的用户的用户名必须不常用,密码也要很复杂才可以。
我是对于那些所谓的"入侵检测系统"/firewall等东西不感冒的,总觉的代价太大,如果系统是自己作的,哪来那么多的漏洞可以利用阿。再说了,debian强大的升级功能就算发现了漏洞也很快就补上了,哪有那么巧你中彩票阿,呵呵。当然,不要的port最好少开。自己吃不准的程序最好少用后不用,一般私人的程序,开几个port没人知道怎么攻击的,呵呵,当然,除非有内鬼。故,管理非常重要。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10617731/viewspace-959727/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10617731/viewspace-959727/
2914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
