原文地址:http://skymax.blog.51cto.com/365901/272912
入侵发生在
2009
年
11
月的某一天,当时我正在机房忙碌着为新机器上架做准备,接到同事的电话,说某某服务不能用了,也不能启动了,说什么文件未找到。当时觉得很疑惑,以前没有遇到过类似的问题。
赶紧登录服务器看个究竟,提示
root
用户密码不对,难道谁把用户密码改了?换一般用户登录,进去了,发现服务进程(
java
进程)不存在了,
home
目录的下文件都被删除了,我意识到事情有些不妙了,一定是有人动过这台服务器。
last
查看一下历史登录记录,发现有两个外网地址以
root
登录过,顺手把这两个外网
IP Google
了一下,都被列入的黑名单。这台服务器是被人攻击了,是怎么进来的呢?这台机器可是在
F5
(负责均衡交换机)下面的,对外也只开了
80
端口,疑惑!
先把
root
密码找回来吧,机器是
Linux RedHat
环境,重启主机,进入
GRUB
时,按
“e”
进行编辑,在该行末尾添加空格
1
。退出编辑,按
“b”
启动进入单用户模式下,此时登录系统不需要密码,
passwd
修改
root
用户密码。然后正常重启,用新设置的
root
用户密码登录。
查看有没有其他东西被动过,还好
weblogic
、
web
应用都在,先将服务起来,正常启动。打电话给同事告知服务现可使用。
思索,对方是如何进来的呢?从
last
记录中可以看到对方的
IP
地址,并且是通过
ssh
方式登录的,那就不应该是从
F5
进来的,因为
F5
只开了
80
端口,并且没有做
IP
透射(如果从
F5
进来,就不会看到对方的公网
IP
)。对方可通过外网直接访问该主机,意识问网络的同事该主机是不是直接
NAT
到外网上了,很快得到了答复,果然被
NAT
到外网了,而且全部端口都打开了,天啊!原来之前这台机器为了从外部做测试省事把所以的端口都打开了,之后又没有及时关闭,这才被人扫描到了。
教训,
1
、不要把主机轻易
NAT
外网,映射时应具体到端口。有些端口是一定不要开的如
ssh
、
telnet
端口;
2
、
root
用户的密码要复杂,不要让对方轻易穷举到;
3
、做相应的安全设置,如禁止外网
IP
登录等。
修改root密码
CentOS
GRUB:在引导装载程序菜单上,键入 [e] 来进入编辑模式。你会面对一个引导项目列表。查找其中类似以下输出 的句行:
kernel /vmlinuz-2.4.18-0.4 ro root
=/dev/hda2
按箭头键直到这一行被突出显示,然后按 [e]。你现在可在文本结尾处空一格再添加 1 来告诉 GRUB 引导单用户 Linux 模式。按 [Enter] 键来使编辑结果生效。
你会被带会编辑模式屏幕,从这里,按[b] , GRUB 就会引导单用户 Linux 模式。 结束载入后,你会面对一个与以下相似的 shell 提示:
sh-2.05#
现在,你便可以改变根命令,键入:
bash# passwd
Ubuntu则是
kernel /boot/vmlinuz-
2.6
.
17
-
11
-generic root=/dev/hda3 ro quiet single
分享到:
相关推荐
服务器被入侵案例分析汇编.pdf
记一次 Linux 被入侵,服务器变“矿机”全过程
叫你用手机入侵服务器,里面内容还有很多。
服务器被入侵后的紧急补救方法.docx
计算机网络服务器的入侵与防御技术探究.pdf
基于计算机网络服务器的入侵及防御技术.pdf
计算机网络服务器的入侵和防御技术探讨.pdf
校园一卡通服务器被黑客入侵的安全解决方案.pdf
从这点基本可以确认服务器已经被入侵了。 二、日志分析 猜想黑客可能是通过SSH暴破登录服务器。查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量SSH登录失败日志,并...
Web服务器入侵和防护-资料 1.利用网站漏洞入侵服务器 2.为入侵建立后门账户 3.SQL弱密码入侵服务器 4.利用上传漏洞入侵服务器 5.配置系统更新 6.查杀病毒和木马 7.禁用和卸载不用的服务 8.跟踪记录安全事件
入侵服务器详解, 入侵服务器详解--很多关于服务器安全的内容
作为一个入侵者,他必须要能够访问你的网络中的程序才能够实现他的入侵目的。通过拒绝他们访问这些程序并且记录访问这些程序的事件,你不需要花费任何成本就可以提高你的企业中的网页服务器的安全级别,并且可以提高...
项目中的一个工具类,可以实现通过命令行入侵服务器,首先必须先在服务器上运行myserver.exe,然后通过客户端来添加账号,设置权限,远程进入,删除帐号等来进行服务器入侵
Windows服务器中毒或被入侵的快速诊断.pdf
自己研究并在实际工作中使用 非常实用的抵御黑客 或者一些黑客工具扫描的利器 搭配linux服务器自身软件防火墙iptable使用更佳 具体看文档
PHP入侵+提权拿服务器.rarPHP入侵+提权拿服务器.rar
11个步骤完美排查服务器是否已经被入侵.doc
如何防止网络服务器不被黑客入侵.pdf
对于网络上开放的服务器来说,WWW服务是最常见的服务之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就对修改WEB页面非常热衷。