首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

洗个澡的功夫,服务器被人拿了 root

  •  
  •   mrzhang76 · 2 天前用 Android 发布 · 5499 次点击

    在阿里云租了一台轻应用,还没配置好。 洗个澡回来发现自己 root 被拿走了 简单检查了一下没啥痕迹 直接重置了系统 前几天做的环境配置全重来了 莫名其妙的被爆破 现在看看明天什么情况 按理说不会有什么拿 shell 的地方啊 环境还没配置完

    41 回复  |  直到 2019-01-16 09:45:27 +08:00
        1
    konakona   2 天前
    公开了哪些端口?咋不说下捏……还有系统日志呢?
    看下阿里云的安全登录记录啊。
        2
    hangvane   2 天前 via iPhone
    可能是弱密码给试出来了吧,我的大小写+数字+符号密码一周被挖矿两次,最后给找出来是强行试出来的,不过我的密码的确很有规律性倒是...
        3
    zxy   2 天前
    改端口还是有点作用~
        4
    hellowes   2 天前
    厉害
        5
    laike9m   2 天前 via Android
    拿到服务器我一般都是先禁用密码登录。。
        6
    haiyang416   2 天前 via Android
    比较好奇怎么确定被拿了 root 呢
        7
    neighbads   1 天前
    禁止密码远程登录
        8
    andychen1   1 天前 via iPhone
    感觉国内服务器很容易招黑
        9
    ctro15547   1 天前
    Fail2ban 输错一次封 1 年,自己输错了去网页控制台解封
        10
    LanAiFaZuo   1 天前
    应该禁用哪些端口啊?有没有大佬说下。。
        11
    ScotGu   1 天前
    @laike9m #5
    @neighbads #7
    请教二位,禁止密码登录,那应该就是使用证书登录的吧?请问如何管理证书并实现跨设备(平台)管理服务器呢?
    因为要随时管理服务器,有时候需要在手机端管理,证书登录太麻烦了。


    @ctro15547 #9 狠起来连自己都不放过啊,密码较多,有时候会输错超过 3 次,按你这么搞,我可能会房梁自缢。
        12
    MKDJOJO   1 天前 via Android
    密匙吧,密码临时用用还差不多
        13
    RiESA   1 天前
    @ScotGu #11 触发次数和封禁时间可以调整,一般不用 ban 那么长时间的,主要是防止暴力破解
        14
    luckbbs   1 天前
    @ScotGu Fail2ban 能设置错误次数。比如 100 次...
        15
    glouhao   1 天前 via Android
    @ctro15547 一次一年是不是太狠,这要中标得多少亿次。
        16
    xiaket   1 天前
    @ScotGu 各个平台的 ssh 客户端都会支持公私钥吧...
        17
    Wincer   1 天前 via Android
    配置一下密钥登陆,禁止密码登陆,更换端口,禁止 icmp 报文。这么一来应该不会被攻破了。
        18
    ckizey   1 天前 via iPhone
    首先更换个 5 尾数的端口
        19
    celeron533   1 天前
    该不会你的 SSH 客户端被动过手脚?以前有过类似的大事件,国内某下载站的 putty 客户端被人放了后门,直接拿到 root 密码
        20
    internelp   1 天前   ♥ 13
    这个事情告诉我们,没事不要洗澡。
        21
    Reficul   1 天前 via Android   ♥ 1
    检查一下自身环境,国内不少下载的 putty 都有问题。早年用 putty 的时候一台 aws 的机器也被搞过。
        22
    blackeeper   1 天前
    1、改端口
    2、密钥登录
    3、密码登录话,加一个二次认证
    这样基本不会被搞
        23
    nicevar   1 天前
    好多人和小公司买的阿里云服务器都变成了矿机,而且还被装上了自动爆破程序,不断扫描其他主机
    不改端口、允许 root 密码登录、不限制尝试次数、开启公网 mysql 访问这些主机很容易就成为鸡
        24
    ctro15547   1 天前
    @ScotGu 阿里云网页控制台好像不用 root 登陆直接能用。用完别退 exit 就好。要是这个控制台被人登陆了,估计你支付宝钱包也要遭
        25
    keepeye   1 天前   ♥ 1
    两件事:
    1. 禁止 root 密码登陆
    2. 打开防火墙,并配置规则,默认拒绝所有端口的连接,仅开放自己需要用到的。
        26
    okwork   1 天前 via Android
    @ctro15547 一般这类高危操作,都要验证一次手机验证码的吧
        27
    kohos   1 天前
    证书登录,把证书放在自己个人的同步盘 OneDrive/Dropbox 里面,手机上有 APP 就能下回来用 JuiceSSH 连接
        28
    sobigfish   1 天前
    @ScotGu #11 手机端也有很多支持证书验证的 terminal 吧(这个应该算是基本需求吧)
    termius 之类

    证书本来就是应该一个 client 一个密钥(不要共享,不用管理)
        29
    mrzhang76   1 天前 via Android
    @hangvane 我密码是脸滚键盘的…… 30+混合符合大小写
        30
    mrzhang76   1 天前 via Android
    @haiyang416 我 root 直接掉了,没权限了
        31
    mrzhang76   1 天前 via Android
    @celeron533 xshell 官网下载的
        32
    claysec   1 天前
    我都是随机 20 位密码的- -。。从来没试过有事
        33
    xmlf   1 天前 via Android
    我很好奇,你是怎么发现的
        34
    gouchaoer2   1 天前
    @mrzhang76 你这个肯定不是秘密爆破,密码随机 10 位以上就不能爆破了,ls 一堆禁止 root 登录或者密钥登录的真的没啥意思还麻烦

    你肯定是用 root 的权限运行了一些 web 服务,然后别人用 web 服务的漏洞扫到你然后拿到你 root 的,于是你开了那些测试的 web 服务?来复盘吧
        35
    killerv   1 天前
    只对外开放必要的端口
    禁止 root 登录
    禁止密码登录
        36
    likuku   1 天前
    所以前两年 aws 发布会上某信息安全主管演讲中提到观点非常值得借鉴,大意:
    “安全策略 /操作,得在环境建立起始就同步进行,因为你根本不知道恶意攻击 /漏洞何时会出现”。

    上面各种怕麻烦的,谨祝你们的好运长久。
        37
    3dwelcome   1 天前 via Android
    @likuku 可是没有任何证据说,root 长密码能被远程暴力破解的。
    如果超长密码的前提下,服务器还是被 hack,只能说明密码是本机泄露的,这样的情况下,用证书登录同样会出问题。
        38
    likuku   1 天前
    @3dwelcome 拿 root 登陆并日常使用,这本身就是高风险操作... 习惯不好,不值得。

    打个比方:
    即便如今奥地利格洛克使用了多重保险措施,装弹上膛后随意摔打+汽车碾压,都安全可靠,
    没事时不时拿着它用“准星前端”给自己脑袋挠痒痒,依然是很不明智和危险的事。
        39
    yuikns   1 天前 via iPhone
    好奇怪,ssh-keygen 完了 ssh-copy-id 下,之后直接就进去了,那些 duangduangduangduang 每次都输入十几位口令的,是觉得自己手速特别快,不展示下可惜了么?

    要是普通用户想要 root 那太简单了,配置下 sudoer 即可控制免密码。
        40
    KasuganoSoras   1 天前
    我的方法简单,ssh 端口改到 5 位数,密码随机 30 位数以上,然后怕忘记可以用纸写下来压在键盘下,完事
        41
    snoopygao   22 小时 18 分钟前
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1561 人在线   最高记录 4236   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.2 · 18ms · UTC 00:04 · PVG 08:04 · LAX 16:04 · JFK 19:04
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1