这是一个创建于 2124 天前的主题,其中的信息可能已经有所发展或是发生改变。
在阿里云租了一台轻应用,还没配置好。 洗个澡回来发现自己 root 被拿走了 简单检查了一下没啥痕迹 直接重置了系统 前几天做的环境配置全重来了 莫名其妙的被爆破 现在看看明天什么情况 按理说不会有什么拿 shell 的地方啊 环境还没配置完
 |
1
konakona 2019-01-15 00:17:55 +08:00
公开了哪些端口?咋不说下捏……还有系统日志呢?
看下阿里云的安全登录记录啊。 |
 |
2
hangvane 2019-01-15 00:21:10 +08:00 via iPhone
可能是弱密码给试出来了吧,我的大小写+数字+符号密码一周被挖矿两次,最后给找出来是强行试出来的,不过我的密码的确很有规律性倒是...
|
 |
3
zxy 2019-01-15 00:36:49 +08:00
改端口还是有点作用~
|
 |
4
hellowes 2019-01-15 00:42:16 +08:00
厉害
|
 |
5
laike9m 2019-01-15 00:45:32 +08:00 via Android
拿到服务器我一般都是先禁用密码登录。。
|
 |
6
haiyang416 2019-01-15 07:36:19 +08:00 via Android
比较好奇怎么确定被拿了 root 呢
|
 |
7
neighbads 2019-01-15 08:29:33 +08:00
禁止密码远程登录
|
 |
8
andychen1 2019-01-15 08:39:01 +08:00 via iPhone
感觉国内服务器很容易招黑
|
 |
9
ctro15547 2019-01-15 08:40:22 +08:00
Fail2ban 输错一次封 1 年,自己输错了去网页控制台解封
|
 |
10
LanAiFaZuo 2019-01-15 09:02:50 +08:00
应该禁用哪些端口啊?有没有大佬说下。。
|
 |
11
ScotGu 2019-01-15 09:05:18 +08:00
|
 |
12
MKDJOJO 2019-01-15 09:06:15 +08:00 via Android
密匙吧,密码临时用用还差不多
|
 |
17
Wincer 2019-01-15 09:27:37 +08:00 via Android
配置一下密钥登陆,禁止密码登陆,更换端口,禁止 icmp 报文。这么一来应该不会被攻破了。
|
 |
18
ckizey 2019-01-15 09:29:56 +08:00 via iPhone
首先更换个 5 尾数的端口
|
 |
19
celeron533 2019-01-15 09:39:35 +08:00
该不会你的 SSH 客户端被动过手脚?以前有过类似的大事件,国内某下载站的 putty 客户端被人放了后门,直接拿到 root 密码
|
 |
20
internelp 2019-01-15 09:45:29 +08:00  13
这个事情告诉我们,没事不要洗澡。
|
 |
21
Reficul 2019-01-15 09:51:20 +08:00 via Android 1
检查一下自身环境,国内不少下载的 putty 都有问题。早年用 putty 的时候一台 aws 的机器也被搞过。
|
 |
22
blackeeper 2019-01-15 10:30:00 +08:00
1、改端口
2、密钥登录 3、密码登录话,加一个二次认证 这样基本不会被搞 |
 |
23
nicevar 2019-01-15 10:34:40 +08:00
好多人和小公司买的阿里云服务器都变成了矿机,而且还被装上了自动爆破程序,不断扫描其他主机
不改端口、允许 root 密码登录、不限制尝试次数、开启公网 mysql 访问这些主机很容易就成为鸡 |
|
24
ctro15547 2019-01-15 11:05:40 +08:00
@ScotGu 阿里云网页控制台好像不用 root 登陆直接能用。用完别退 exit 就好。要是这个控制台被人登陆了,估计你支付宝钱包也要遭
|
 |
25
keepeye 2019-01-15 11:10:37 +08:00 1
两件事:
1. 禁止 root 密码登陆 2. 打开防火墙,并配置规则,默认拒绝所有端口的连接,仅开放自己需要用到的。 |
 |
27
kohos 2019-01-15 11:32:43 +08:00
证书登录,把证书放在自己个人的同步盘 OneDrive/Dropbox 里面,手机上有 APP 就能下回来用 JuiceSSH 连接
|
 |
28
sobigfish 2019-01-15 11:34:28 +08:00
|
 |
30
mrzhang76 OP @haiyang416 我 root 直接掉了,没权限了
|
|
31
mrzhang76 OP @celeron533 xshell 官网下载的
|
 |
32
claysec 2019-01-15 14:37:32 +08:00
我都是随机 20 位密码的- -。。从来没试过有事
|
 |
33
xmlf 2019-01-15 14:41:52 +08:00 via Android
我很好奇,你是怎么发现的
|
 |
34
gouchaoer2 2019-01-15 14:51:08 +08:00
@mrzhang76 你这个肯定不是秘密爆破,密码随机 10 位以上就不能爆破了,ls 一堆禁止 root 登录或者密钥登录的真的没啥意思还麻烦
你肯定是用 root 的权限运行了一些 web 服务,然后别人用 web 服务的漏洞扫到你然后拿到你 root 的,于是你开了那些测试的 web 服务?来复盘吧 |
 |
35
killerv 2019-01-15 17:36:20 +08:00
只对外开放必要的端口
禁止 root 登录 禁止密码登录 |
 |
36
likuku 2019-01-15 20:10:14 +08:00
所以前两年 aws 发布会上某信息安全主管演讲中提到观点非常值得借鉴,大意:
“安全策略 /操作,得在环境建立起始就同步进行,因为你根本不知道恶意攻击 /漏洞何时会出现”。 上面各种怕麻烦的,谨祝你们的好运长久。 |
 |
37
3dwelcome 2019-01-15 20:23:38 +08:00 via Android
@likuku 可是没有任何证据说,root 长密码能被远程暴力破解的。
如果超长密码的前提下,服务器还是被 hack,只能说明密码是本机泄露的,这样的情况下,用证书登录同样会出问题。 |
|
38
likuku 2019-01-15 20:40:56 +08:00
@3dwelcome 拿 root 登陆并日常使用,这本身就是高风险操作... 习惯不好,不值得。
打个比方: 即便如今奥地利格洛克使用了多重保险措施,装弹上膛后随意摔打+汽车碾压,都安全可靠, 没事时不时拿着它用“准星前端”给自己脑袋挠痒痒,依然是很不明智和危险的事。 |
 |
39
yuikns 2019-01-16 00:10:23 +08:00 via iPhone
好奇怪,ssh-keygen 完了 ssh-copy-id 下,之后直接就进去了,那些 duangduangduangduang 每次都输入十几位口令的,是觉得自己手速特别快,不展示下可惜了么?
要是普通用户想要 root 那太简单了,配置下 sudoer 即可控制免密码。 |
 |
40
KasuganoSoras 2019-01-16 00:23:21 +08:00
我的方法简单,ssh 端口改到 5 位数,密码随机 30 位数以上,然后怕忘记可以用纸写下来压在键盘下,完事
|
 |
41
snoopygao 2019-01-16 09:45:27 +08:00
|
Select Language