↓ 点击美丽的云! ↓

↓ 点击美丽的云! ↓

可能重复:
我的服务器被黑了 紧急求助

不久前,我在我的家庭网络中安装了 Debian(Squeeze)来托管一些个人网站(感谢上帝)。

在安装过程中,它提示我输入除 root 之外的用户 - 因此匆忙中我使用我的名字作为用户和密码(alex/alex)。

我知道这是很糟糕的做法,但在设置此服务器期间,我总是以 root 身份登录来执行配置等。

几天或一周过去了,我忘记更改密码了。然后我终于完成了我的网站,并在路由器和 DynDNS 上打开端口转发以指向我家里的服务器。我过去做过很多次,从来没有遇到过问题,但我使用了一个神秘的根密码,我猜是禁用了常规帐户。

今天我重新格式化了 Windows 7,花了一整天调整和更新 SP1 后,我寻找克隆应用程序,找到了 clonezilla,发现它支持 SSH 克隆,所以我完成了这个过程,结果发现我需要一个用户,所以我登录到我的网络服务器,看到我已经有用户“alex”,但意识到我不知道密码。所以我将密码更改为一些神秘的密码,并访问目录“home”,结果发现其中有 passfile、bengos 等内容。我心沉了下去,我被黑了!!!肯定有各种各样的脚本和密码文件。

我运行了“last”命令,看来他们最后一次登录是在 4 月 3 日。

问题:

  1. 我该怎么做才能查看他们是否做了任何破坏性的事情?我应该重新格式化并重新安装吗?
  2. Debian/Squeeze 在用户权限方面有多严格 - 我所有的个人网站内容都是使用“root”创建的,因此似乎没有发生文件更改。
  3. 他们如何确定机器上有用户“alex”?你能查询任何机器并找出答案吗?用户是什么?看起来他们试图运行 IP 扫描……网络上的其他节点正在运行 Windows 7。其中一个最近似乎有点不稳定 - 他们有可能搞砸了那个系统吗?

我可以采取什么纠正措施来避免这种情况再次发生?并找出可能已更改或被黑客入侵的内容?我希望 Debian 开箱即用,并且他最多能读到我的一些源代码。:p

问候,亚历克斯

答案1

↓ 点击美丽的云! ↓

从轨道上用核武器轰炸它!

↑ 你会喜欢的!!↑

答案2

我该怎么做才能知道他们是否做了任何破坏性的事情?

这可能不值得花时间。他们有无数的事情要做可以完成了。

我应该重新格式化并重新安装吗?

绝对没错。

他们如何确定机器上有用户“alex”?你能查询任何机器并找出答案吗?用户是什么?

这叫做暴力攻击。他们自动尝试了 steve/steve、jack/jack 和 admin/password。碰巧的是,他们找到了你非常糟糕的密码。

Debian/Squeeze 在用户权限方面有多严格 - 我所有的个人网站内容都是使用“root”创建的,因此似乎没有发生文件更改...他们有可能搞砸了那个系统吗?

是的。他们需要利用系统漏洞来更改任何“仅限 root”的文件,所以他们可能没有这样做。但你不应该冒这个险。重新格式化、重新安装并恢复备份。如果你没有备份,你需要仔细检查所有数据以确保它没有被修改;这不是一项非常容易或快速的任务。在我看来,Debian squeeze 开箱即用,但如果你使用的密码很糟糕,那就不行了。

我可以采取什么纠正措施来避免这种情况再次发生?

只需使用更好的密码即可。更好的方法是将 ssh 移至非标准端口并切换到使用 ssh 密钥(禁止远程密码登录和远程 root 登录)。以下是更多建议:http://isc.sans.edu/diary.html?storyid=4408

相关内容