趕緊檢查系統有沒被黑掉,靠,我靠,last裡竟然有兩個使用者,一個韓國的,一個羅馬里呀的爛人,操,竟然登陸過我的機器,還好不是root進來的,不然我的日誌肯定都被刪掉啦,趕緊檢查/etc/passwd和/etc/shadow,我靠,mysql的shell竟然是/bin/bash,我靠,趕緊刪掉mysql使用者,刪掉其他一些亂七八糟的使用者和目錄...
兩個爛人都用test使用者登陸,檢查發現/home/test下還好沒有什麼東西,但是有些後怕...
現在沒辦法,加了幾條策略
iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 22 -s xx.xx.xx.xx -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
為了看看他什麼時候再來,加了一條無用的策略
iptables -A INPUT -p tcp --dport 22 -j DROP
日誌還是有地...
但是考慮可能在核心裡被安裝了什麼東東,趕緊弄了個新核心,用新核心啟動了...現在萬幸啊.
還好現在沒什麼問題.看來我得加強對DMZ區的網路安全防範啦,上次就在web那台機器上發現過有韓國
使用者的串連,不過關掉terminal服務,馬上就斷掉啦
看來我的預設策略都需要改成DROP啦...
把韓國和羅馬里呀的兩個爛人的ip抄了下來
nmap一下,發現韓國的已經過了,估計是adsl或者其他動態ip分配,而羅馬里呀就沒這麼幸福啦
經過掃描發現是一台用作proxy和nat server的Fedore core,不知道是版本幾,開了22,80,3128連接埠,看來是用
squid做http的代理在...80登陸上去,我靠....竟然是預設的apache頁面,猜測也是別人的跳板,也就沒辦法了
不過明顯這個做proxy的人很爛,apache的預設頁面都開著.
不過目前的工作就是
1 確定對方fc版本
2 確定附帶安裝的apache,squid,openssh版本
3 尋找相關軟體及系統的漏洞
4 登陸該機器
5 看什麼時候利用該機器登陸過我的機器,該使用者名稱,源ip
6 找到真正登陸我機器的人
媽的,可真把我嚇壞啦...
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
