首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

洗个澡的功夫,服务器被人拿了 root

  •  
  •   mrzhang76 · 40 天前用 Android 发布 · 5906 次点击
    这是一个创建于 40 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在阿里云租了一台轻应用,还没配置好。 洗个澡回来发现自己 root 被拿走了 简单检查了一下没啥痕迹 直接重置了系统 前几天做的环境配置全重来了 莫名其妙的被爆破 现在看看明天什么情况 按理说不会有什么拿 shell 的地方啊 环境还没配置完

    41 回复  |  直到 2019-01-16 09:45:27 +08:00
        1
    konakona   40 天前
    公开了哪些端口?咋不说下捏……还有系统日志呢?
    看下阿里云的安全登录记录啊。
        2
    hangvane   40 天前 via iPhone
    可能是弱密码给试出来了吧,我的大小写+数字+符号密码一周被挖矿两次,最后给找出来是强行试出来的,不过我的密码的确很有规律性倒是...
        3
    zxy   40 天前
    改端口还是有点作用~
        4
    hellowes   40 天前
    厉害
        5
    laike9m   40 天前 via Android
    拿到服务器我一般都是先禁用密码登录。。
        6
    haiyang416   39 天前 via Android
    比较好奇怎么确定被拿了 root 呢
        7
    neighbads   39 天前
    禁止密码远程登录
        8
    andychen1   39 天前 via iPhone
    感觉国内服务器很容易招黑
        9
    ctro15547   39 天前
    Fail2ban 输错一次封 1 年,自己输错了去网页控制台解封
        10
    LanAiFaZuo   39 天前
    应该禁用哪些端口啊?有没有大佬说下。。
        11
    ScotGu   39 天前
    @laike9m #5
    @neighbads #7
    请教二位,禁止密码登录,那应该就是使用证书登录的吧?请问如何管理证书并实现跨设备(平台)管理服务器呢?
    因为要随时管理服务器,有时候需要在手机端管理,证书登录太麻烦了。


    @ctro15547 #9 狠起来连自己都不放过啊,密码较多,有时候会输错超过 3 次,按你这么搞,我可能会房梁自缢。
        12
    MKDJOJO   39 天前 via Android
    密匙吧,密码临时用用还差不多
        13
    RiESA   39 天前
    @ScotGu #11 触发次数和封禁时间可以调整,一般不用 ban 那么长时间的,主要是防止暴力破解
        14
    luckbbs   39 天前
    @ScotGu Fail2ban 能设置错误次数。比如 100 次...
        15
    glouhao   39 天前 via Android
    @ctro15547 一次一年是不是太狠,这要中标得多少亿次。
        16
    xiaket   39 天前
    @ScotGu 各个平台的 ssh 客户端都会支持公私钥吧...
        17
    Wincer   39 天前 via Android
    配置一下密钥登陆,禁止密码登陆,更换端口,禁止 icmp 报文。这么一来应该不会被攻破了。
        18
    ckizey   39 天前 via iPhone
    首先更换个 5 尾数的端口
        19
    celeron533   39 天前
    该不会你的 SSH 客户端被动过手脚?以前有过类似的大事件,国内某下载站的 putty 客户端被人放了后门,直接拿到 root 密码
        20
    internelp   39 天前   ♥ 13
    这个事情告诉我们,没事不要洗澡。
        21
    Reficul   39 天前 via Android   ♥ 1
    检查一下自身环境,国内不少下载的 putty 都有问题。早年用 putty 的时候一台 aws 的机器也被搞过。
        22
    blackeeper   39 天前
    1、改端口
    2、密钥登录
    3、密码登录话,加一个二次认证
    这样基本不会被搞
        23
    nicevar   39 天前
    好多人和小公司买的阿里云服务器都变成了矿机,而且还被装上了自动爆破程序,不断扫描其他主机
    不改端口、允许 root 密码登录、不限制尝试次数、开启公网 mysql 访问这些主机很容易就成为鸡
        24
    ctro15547   39 天前
    @ScotGu 阿里云网页控制台好像不用 root 登陆直接能用。用完别退 exit 就好。要是这个控制台被人登陆了,估计你支付宝钱包也要遭
        25
    keepeye   39 天前   ♥ 1
    两件事:
    1. 禁止 root 密码登陆
    2. 打开防火墙,并配置规则,默认拒绝所有端口的连接,仅开放自己需要用到的。
        26
    okwork   39 天前 via Android
    @ctro15547 一般这类高危操作,都要验证一次手机验证码的吧
        27
    kohos   39 天前
    证书登录,把证书放在自己个人的同步盘 OneDrive/Dropbox 里面,手机上有 APP 就能下回来用 JuiceSSH 连接
        28
    sobigfish   39 天前
    @ScotGu #11 手机端也有很多支持证书验证的 terminal 吧(这个应该算是基本需求吧)
    termius 之类

    证书本来就是应该一个 client 一个密钥(不要共享,不用管理)
        29
    mrzhang76   39 天前 via Android
    @hangvane 我密码是脸滚键盘的…… 30+混合符合大小写
        30
    mrzhang76   39 天前 via Android
    @haiyang416 我 root 直接掉了,没权限了
        31
    mrzhang76   39 天前 via Android
    @celeron533 xshell 官网下载的
        32
    claysec   39 天前
    我都是随机 20 位密码的- -。。从来没试过有事
        33
    xmlf   39 天前 via Android
    我很好奇,你是怎么发现的
        34
    gouchaoer2   39 天前
    @mrzhang76 你这个肯定不是秘密爆破,密码随机 10 位以上就不能爆破了,ls 一堆禁止 root 登录或者密钥登录的真的没啥意思还麻烦

    你肯定是用 root 的权限运行了一些 web 服务,然后别人用 web 服务的漏洞扫到你然后拿到你 root 的,于是你开了那些测试的 web 服务?来复盘吧
        35
    killerv   39 天前
    只对外开放必要的端口
    禁止 root 登录
    禁止密码登录
        36
    likuku   39 天前
    所以前两年 aws 发布会上某信息安全主管演讲中提到观点非常值得借鉴,大意:
    “安全策略 /操作,得在环境建立起始就同步进行,因为你根本不知道恶意攻击 /漏洞何时会出现”。

    上面各种怕麻烦的,谨祝你们的好运长久。
        37
    3dwelcome   39 天前 via Android
    @likuku 可是没有任何证据说,root 长密码能被远程暴力破解的。
    如果超长密码的前提下,服务器还是被 hack,只能说明密码是本机泄露的,这样的情况下,用证书登录同样会出问题。
        38
    likuku   39 天前
    @3dwelcome 拿 root 登陆并日常使用,这本身就是高风险操作... 习惯不好,不值得。

    打个比方:
    即便如今奥地利格洛克使用了多重保险措施,装弹上膛后随意摔打+汽车碾压,都安全可靠,
    没事时不时拿着它用“准星前端”给自己脑袋挠痒痒,依然是很不明智和危险的事。
        39
    yuikns   39 天前 via iPhone
    好奇怪,ssh-keygen 完了 ssh-copy-id 下,之后直接就进去了,那些 duangduangduangduang 每次都输入十几位口令的,是觉得自己手速特别快,不展示下可惜了么?

    要是普通用户想要 root 那太简单了,配置下 sudoer 即可控制免密码。
        40
    KasuganoSoras   39 天前
    我的方法简单,ssh 端口改到 5 位数,密码随机 30 位数以上,然后怕忘记可以用纸写下来压在键盘下,完事
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   932 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 19:02 · PVG 03:02 · LAX 11:02 · JFK 14:02
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1