我是一名网络开发人员,目前我们办公室里没有人专门负责服务器或网络的维护。通常我可以用我的基本知识解决许多出现的问题,但目前我们遇到了一些奇怪的事情,我不知道发生了什么,所以我想向比我更有知识的人寻求一些建议,如果可能的话,可以帮我解答一下。
我们有一个由 UK Fast(Linux 服务器)托管的 ecloud 服务器,它拥有一个 VPS 服务器和许多客户站点。昨天,服务器随机宕机,当我们意识到时,我们打电话给他们,他们说有人通过 SSH 进入并运行命令, sudo rm TSG-server.pub
这实际上删除了我们的整个服务器。UK fast 设法为我们获取了执行此操作的用户从哪里访问它的 IP,但 1. 我不知道这有什么帮助,2. 他们可能一直在使用 VPN。
奇怪的是,他们有一次登录尝试,结果成功了……所以不管是谁,他都知道密码,或者从某个地方得到密码。我们唯一有密码的地方是 LastPass,其他人都不知道。所以我们恢复了备份,恢复了所有内容,更改了密码,然后就结束了。
时间快进到今天早上,这件事又发生了......只不过这一次他们没有留下任何痕迹,因为他们确保也删除了日志......
他们怎么可能这样做?我们又该如何阻止?我甚至不知道从何说起……
请问有人知道这是怎么发生的吗?
答案1
您说在第一次攻击后您“恢复了备份并恢复了一切”。如果您将备份恢复到现有服务器基础架构而不是干净的系统,那么攻击者在第一次尝试时就留下了某种后门。由于他们删除了日志,因此您无法确定第二次攻击是否使用了有效密码或后门技术。
根据您的描述,我断定被黑的账户拥有 root 权限。您可以考虑限制非 root 账户登录,并要求提供额外凭证(至少须藤密码,最好是双因素身份验证)来进行 root 访问。
答案2
我不知道服务器的配置,但如果攻击者第一次尝试再次登录,则您可能已成为 MITM(中间人)攻击的目标。
我认为攻击者不可能是内部人员,即贵公司中能够访问密码的员工之一。
您应该首先保护您的服务器,设置基于密钥的身份验证,并使用 OpenVas 之类的工具扫描服务器是否存在漏洞。
另请查看此文章以了解有关 MITM 攻击的更多信息以及如何预防: https://www.ssh.com/attack/man-in-the-middle。