我想听听真实的故事,你的 Linux 机器/服务器是如何被黑客入侵的,以及你该怎么做才能避免再次陷入同样的困境。
答案1
大约两年前,我的一台同地网络服务器被黑客入侵。我追踪到漏洞位于我运行的 php 脚本中,这是旧版本的 PHPBB。黑客基本上利用漏洞在我的服务器上放置脚本并执行它,这让他获得了对服务器的完全访问权限。
幸运的是,他没有造成任何损害,只是安装了一个新的网站来通过我的机器提供服务。
有一天,我查看日志时发现我的带宽使用量暴涨,我发现他在我的服务器上安装了一个另一个网站的仿冒副本。本质上,这是一个很容易拼写错误的在线手表商店,我相信他在卖手表、收钱,而且显然从未给任何人寄过任何东西。
发现这一点后,我复制了他所做的一切 - 日志、脚本、整个网站,并将其存档并发送给我的托管服务提供商。
我清理了他的踪迹,并开始保护我的服务器。
因此,我学到了很多有关 Linux 安全性的知识,并做了以下几件事:
- 加强了我的 SSH 安全性,包括在非标准端口上运行它。
- chroot 的 Apache
- 安装并配置了 apache mod_security(太棒了)
- 开始运行一些日志监控/入侵检测脚本
- 终止我没有主动使用的端口上运行的所有进程
结果,从那以后我就再也没有被黑客入侵过,而且每当有人试图入侵时,我都会收到警报。
如果您的服务器是标准的 Web/电子邮件服务器,那么最容易被黑客入侵的方式就是通过常见的脚本漏洞。如果您正在运行电子邮件服务器,您还应该采取额外措施,确保您不是任何类型的开放中继,否则垃圾邮件发送者会找到您,然后突然间来自您服务器的所有电子邮件都会被列入黑名单。
答案2
几年前,我创建了一个用户名,其名称由两个符号组成。但我没想到,这个帐户的拥有者会将他的登录名用作密码。当然,那台机器在一周内就被黑客入侵了,当我问他是怎么想的时候,他告诉我,他不知道有人可以检查服务器上所有可能的短用户名,他确信没有人可以获得用户列表,所以他认为他足够安全。
黑客安装了某种后门,可能用这台机器发送垃圾邮件。幸运的是,这台服务器并不那么重要,所以我们只是重新安装了操作系统。
答案3
托管解决方案(不受支持的专用服务器)很便宜,听起来很酷,但我真的不知道自己在做什么,没有让系统保持最新状态,而且我可能对 iptables/ipchains 配置做了一些坏事。有一天,当我在西欧背包旅行时,我打开了该网站,但什么也没有。
我的解决方案是放弃一切并信任其他人,直到我获得更多的服务器管理经验;那是大约 7 年前的事了,我仍然信任那个人!
答案4
很多年前,我曾负责一个客户的系统。该系统没有打补丁,不知何故从我的维护系统列表中删除了。
bind 中的安全漏洞允许某人进入系统并获得 root 权限。他们使用该系统发送垃圾邮件并设置了 Web 服务器。虽然 bind 已安装在系统上,但实际上并未用于任何用途
入侵的结果
- 调出高清视频以防警察想看
- 在新硬盘上重新安装了操作系统
- 从旧备份中恢复数据
- 删除不需要的包(bind),这是攻击的载体。
- 应用安全补丁,并设置一个系统,在需要安装补丁时通知系统所有者
- 为我们所有的系统设置更好的活动日志
- 调整了我们的备份选择,因为有几件事被忽略了。