原文地址:http://skymax.blog.51cto.com/365901/272912
入侵发生在
2009
年
11
月的某一天,当时我正在机房忙碌着为新机器上架做准备,接到同事的电话,说某某服务不能用了,也不能启动了,说什么文件未找到。当时觉得很疑惑,以前没有遇到过类似的问题。
赶紧登录服务器看个究竟,提示
root
用户密码不对,难道谁把用户密码改了?换一般用户登录,进去了,发现服务进程(
java
进程)不存在了,
home
目录的下文件都被删除了,我意识到事情有些不妙了,一定是有人动过这台服务器。
last
查看一下历史登录记录,发现有两个外网地址以
root
登录过,顺手把这两个外网
IP Google
了一下,都被列入的黑名单。这台服务器是被人攻击了,是怎么进来的呢?这台机器可是在
F5
(负责均衡交换机)下面的,对外也只开了
80
端口,疑惑!
先把
root
密码找回来吧,机器是
Linux RedHat
环境,重启主机,进入
GRUB
时,按
“e”
进行编辑,在该行末尾添加空格
1
。退出编辑,按
“b”
启动进入单用户模式下,此时登录系统不需要密码,
passwd
修改
root
用户密码。然后正常重启,用新设置的
root
用户密码登录。
查看有没有其他东西被动过,还好
weblogic
、
web
应用都在,先将服务起来,正常启动。打电话给同事告知服务现可使用。
思索,对方是如何进来的呢?从
last
记录中可以看到对方的
IP
地址,并且是通过
ssh
方式登录的,那就不应该是从
F5
进来的,因为
F5
只开了
80
端口,并且没有做
IP
透射(如果从
F5
进来,就不会看到对方的公网
IP
)。对方可通过外网直接访问该主机,意识问网络的同事该主机是不是直接
NAT
到外网上了,很快得到了答复,果然被
NAT
到外网了,而且全部端口都打开了,天啊!原来之前这台机器为了从外部做测试省事把所以的端口都打开了,之后又没有及时关闭,这才被人扫描到了。
教训,
1
、不要把主机轻易
NAT
外网,映射时应具体到端口。有些端口是一定不要开的如
ssh
、
telnet
端口;
2
、
root
用户的密码要复杂,不要让对方轻易穷举到;
3
、做相应的安全设置,如禁止外网
IP
登录等。
修改root密码
CentOS
GRUB:在引导装载程序菜单上,键入 [e] 来进入编辑模式。你会面对一个引导项目列表。查找其中类似以下输出 的句行:
kernel /vmlinuz-2.4.18-0.4 ro root
=/dev/hda2
按箭头键直到这一行被突出显示,然后按 [e]。你现在可在文本结尾处空一格再添加 1 来告诉 GRUB 引导单用户 Linux 模式。按 [Enter] 键来使编辑结果生效。
你会被带会编辑模式屏幕,从这里,按[b] , GRUB 就会引导单用户 Linux 模式。 结束载入后,你会面对一个与以下相似的 shell 提示:
sh-2.05#
现在,你便可以改变根命令,键入:
bash# passwd
Ubuntu则是
kernel /boot/vmlinuz-
2.6
.
17
-
11
-generic root=/dev/hda3 ro quiet single
分享到:
相关推荐
本文档描述了一次针对Linux服务器的入侵事件及其后续的处理过程。该事件始于一次流量异常的发现,进而揭示了服务器遭受木马攻击的事实。 #### 入侵检测 - **流量监控**:通过持续监测网络流量,可以及时发现异常...
起因 最近我们的一台Ubuntu阿里云服务器一直提示有肉鸡行为,提示了...Linux里有非常的多的日志文件,统一都存放在/var/log底下,这里我想先看看是不是有人破解了账号入侵了服务器 cat /var/log/faillog –登陆失败日
LUN可以被视为服务器眼中的一块虚拟硬盘,使得服务器能够像操作本地硬盘一样对其进行读写操作。 #### 十三、SAN阵列存储特点 - **知识点概述**: - 相较于本地存储和DAS存储,现代SAN阵列存储的主要特点或优势。 -...
IPMI的标准经历了几次主要的更新,包括v1.0、v1.5和v2.0三个主要版本。IPMI 2.0是最新的版本,它提供更为丰富的功能,例如监视服务器的物理特征,如温度、电压、风扇状态、电源供应和机箱入侵等。IPMI的工作原理是...
端口侦听工具是一种用于监控网络通信的软件,它能够帮助用户查看哪些程序正在通过特定端口进行数据...对于IT专业人士而言,无论是为了工作需求还是个人技能提升,深入研究这个端口侦听工具都将是一次宝贵的学习经历。
- **后续修订**:1999年8月26日,v1.0版本进行了第一次修订,主要针对已知错误进行了修正。 - **重大升级**:2001年2月21日,发布了v1.5版本,这是IMPI发展的一个重要里程碑。 - **持续优化**:自2002年至2004年间,...
"版本4.7"可能代表了这个软件已经历过多次迭代和优化,提供了更稳定、更高效的时间同步服务。通常,软件的新版本会修复旧版本的bug,提升性能,增加新功能,或者改进用户界面,以提高用户体验。 从压缩包中的文件...
这表明该主机程序至少在2003年就已经存在,并且可能经历了多次更新和维护,以适应不断变化的网络环境和技术需求。 在实际操作中,湖南中信网络有限公司的主机程序可能涉及以下关键知识点: 1. **服务器管理**:...
Java以其“一次编写,到处运行”的特性,成为构建跨平台应用的理想选择。在即时聊天系统中,Java的Socket编程用于实现客户端与服务器之间的数据传输,而多线程技术则保证了多个并发连接的处理。 2.2 C/S模式介绍 C...
3. **跨平台性**:正如前面所述,Java的字节码机制确保了其程序可以在任何支持JVM的平台上运行,实现了“一次编写,到处运行”的承诺。 4. **健壮性**:Java具有强大的异常处理机制和垃圾回收机制,能够自动检测并...
- 统一的数据平台:所有系统共享用户数据,一次录入,同步更新,减少冗余。 - 整合各系统数据:通过服务器集群实现各系统的无缝对接和数据整合。 综上所述,智慧住宅综合安防行业解决方案致力于通过集成化的平台...
使用OKC的网络环境通常包含一个中央控制器,该控制器可能负责执行诸如动态射频管理、无线入侵检测系统(WIDS)和无线入侵防御系统(WIPS)等其他功能。因此,OKC往往被集成到更广泛的无线网络管理和安全策略中,提高...
在数字化转型的浪潮中,医疗行业正经历着前所未有的变革,智慧电子病历数据的应用方案正成为这一变革的核心。随着云计算、大数据、物联网和人工智能技术的融合与发展,传统的纸质病历正在逐步被电子病历取代,进而...
这样的设计是为了方便用户一次性下载并解压后直接运行游戏。可能的文件结构可能包括HTML文件(游戏界面)、CSS文件(样式表)、JavaScript文件(游戏逻辑)、图片文件(角色和场景图像)、音频文件(背景音乐和音效...
在IT安全领域,"PowerThIEf"是一个用于Internet Explorer后渗透利用的工具库,尤其在Windows环境中。...对于那些对信息安全有深入兴趣的人来说,研究"Invoke-PowerThIEf-master"源码将是一次宝贵的学习经历。
而我司的ZYADS广告联盟系统是经过我司三年多自主研发的软件,曾经历过三次重大的核心技术重写,近百次的功能更新,上千的使用客户。因此我们可以很自信的说,绝大部分的软件设计公司(非主营网络广告服务)不可能...
V1.4版本表示该软件经历了多次更新和改进,能够更加有效地应对日益增长的网络安全威胁。该软件的命名和特性,反映了其在资源占用、防护能力、以及技术细节上的优势。 “tiny”一词的使用暗示了该软件在设计时注重了...
在数据管理方面,制度要求系统管理员必须对存档数据进行统一管理和每月备份,确保在数据丢失或系统故障时,能够迅速恢复到最近一次备份的状态。同时,系统管理员还需要定期进行系统的检查、监督和维护,及时发现并...