我的阿里云服务器今天遭遇中间人攻击,特来分享一下。

2013-05-08 18:41:25 +08:00
 Zhang
今天我用vpn登陆我的服务器,然后openssh客户端警告我说:远端服务器的指纹发生了改变,可能是有人在中间插了一脚。我当时慌了,我以为我的服务器本身受到入侵,于是我把known_hosts文件中的记录删除了,然后重新登陆,我被告知要输入密码。由于慌张,我把我知道的密码都输了(有两个,其中不包括银行密码),还是登陆不进去。
后来我在登陆另外一台vpn服务器或者不登陆vpn服务器的情况下登陆我的服务器都成功了。这是我才意识到:我的服务器本身没有发生改变或者受到入侵,而是在第三方在中间插那一脚的时候把我的密码套取了。而被套取的密码中的一个刚好是我网站后台的密码!!原来这才是第三者的真正目的。
这件事情到了事后才想明白。于是,我把客户端和服务端的私钥和公钥都更换了(貌似黑客不可能套取到私钥,因为私钥不会在网际间传输),然后把网站后台密码改了。怪不得电视上说要防止上当受骗就要睡一觉,清醒一下,或者找亲朋好友聊聊天。哈哈。
这也是第一次跟黑客正面接触。

特此分享
5518 次点击
所在节点    云计算
10 条回复
ericFork
2013-05-08 19:04:17 +08:00
你是通过域名连接的话,有可能是 dns 出现了问题,解析到了被 ISP 劫持到的一个 IP 了,而那台主机恰好也开了 ssh 服务

乍一看好像这种情况满极端的,但是我也遇到过几次了
Zhang
2013-05-08 19:12:44 +08:00
@ericFork 我开始是用域名连接,openssh客户端提示我可能中间被人插了一脚,然后我改用ip连接,openssh照样提醒我可能中间有人插了一脚。
chemhack
2013-05-08 19:36:11 +08:00
从来不用域名连接的飘过
Zhang
2013-05-08 20:09:10 +08:00
@ericFork 人家把你骗到那里去不是请你喝茶的,肯定别有企图
ericFork
2013-05-08 21:15:32 +08:00
@Zhang 就我的这一个例来看,是你想多了
Zhang
2013-05-08 21:37:33 +08:00
@ericFork 可能是吧!人在江湖漂,哪能不中刀呀
live4love
2013-05-08 23:11:42 +08:00
前几天也遇到这样的情况。尝试通过机器名称和ip访问,都提示指纹变更。还是怀疑电信劫持dns引起的,因为解析出的ip的确指向电信114服务器的地址。纳闷的是,为什么后来用ip访问依然提示指纹变更?
aveline
2013-05-08 23:14:10 +08:00
@ericFork @Zhang 一般情况下是想多了,我现在用的电信通的网络,他们的 Nameserver 解析 NXDOMAIN 的时候就是解析到 60.195.191.230 上,而且这个也开了 ssh。

我有几次就不小心连到这台机器上去了。
ericFork
2013-05-08 23:51:24 +08:00
@aveline 嗯,电信通+1

ps. 你跑北京来了?
aveline
2013-05-09 00:23:57 +08:00
@ericFork 来了快两个月了,你也在?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/68183

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX