可能重复:
我的服务器被黑了 紧急求助
不久前,我在我的家庭网络中安装了 Debian(Squeeze)来托管一些个人网站(感谢上帝)。
在安装过程中,它提示我输入除 root 之外的用户 - 因此匆忙中我使用我的名字作为用户和密码(alex/alex)。
我知道这是很糟糕的做法,但在设置此服务器期间,我总是以 root 身份登录来执行配置等。
几天或一周过去了,我忘记更改密码了。然后我终于完成了我的网站,并在路由器和 DynDNS 上打开端口转发以指向我家里的服务器。我过去做过很多次,从来没有遇到过问题,但我使用了一个神秘的根密码,我猜是禁用了常规帐户。
今天我重新格式化了 Windows 7,花了一整天调整和更新 SP1 后,我寻找克隆应用程序,找到了 clonezilla,发现它支持 SSH 克隆,所以我完成了这个过程,结果发现我需要一个用户,所以我登录到我的网络服务器,看到我已经有用户“alex”,但意识到我不知道密码。所以我将密码更改为一些神秘的密码,并访问目录“home”,结果发现其中有 passfile、bengos 等内容。我心沉了下去,我被黑了!!!肯定有各种各样的脚本和密码文件。
我运行了“last”命令,看来他们最后一次登录是在 4 月 3 日。
问题:
- 我该怎么做才能查看他们是否做了任何破坏性的事情?我应该重新格式化并重新安装吗?
- Debian/Squeeze 在用户权限方面有多严格 - 我所有的个人网站内容都是使用“root”创建的,因此似乎没有发生文件更改。
- 他们如何确定机器上有用户“alex”?你能查询任何机器并找出答案吗?用户是什么?看起来他们试图运行 IP 扫描……网络上的其他节点正在运行 Windows 7。其中一个最近似乎有点不稳定 - 他们有可能搞砸了那个系统吗?
我可以采取什么纠正措施来避免这种情况再次发生?并找出可能已更改或被黑客入侵的内容?我希望 Debian 开箱即用,并且他最多能读到我的一些源代码。:p
问候,亚历克斯
答案1
答案2
我该怎么做才能知道他们是否做了任何破坏性的事情?
这可能不值得花时间。他们有无数的事情要做可以完成了。
我应该重新格式化并重新安装吗?
绝对没错。
他们如何确定机器上有用户“alex”?你能查询任何机器并找出答案吗?用户是什么?
这叫做暴力攻击。他们自动尝试了 steve/steve、jack/jack 和 admin/password。碰巧的是,他们找到了你非常糟糕的密码。
Debian/Squeeze 在用户权限方面有多严格 - 我所有的个人网站内容都是使用“root”创建的,因此似乎没有发生文件更改...他们有可能搞砸了那个系统吗?
是的。他们需要利用系统漏洞来更改任何“仅限 root”的文件,所以他们可能没有这样做。但你不应该冒这个险。重新格式化、重新安装并恢复备份。如果你没有备份,你需要仔细检查所有数据以确保它没有被修改;这不是一项非常容易或快速的任务。在我看来,Debian squeeze 开箱即用,但如果你使用的密码很糟糕,那就不行了。
我可以采取什么纠正措施来避免这种情况再次发生?
只需使用更好的密码即可。更好的方法是将 ssh 移至非标准端口并切换到使用 ssh 密钥(禁止远程密码登录和远程 root 登录)。以下是更多建议:http://isc.sans.edu/diary.html?storyid=4408