DeltaTriangle 最近的时间轴更新 DeltaTriangle 最近的时间轴更新 |
DeltaTriangleV2EX 第 44871 号会员,加入于 2013-09-03 17:22:46 +08:00 |
DeltaTriangle 最近回复了
2017-03-21 21:48:06 +08:00 回复了 hadoop 创建的主题 › 问与答 › 服务器被未知“naike”账户从 tty1 登录,可能是啥问题? |
@hadoop 第三次我又重装了,这次直接叫机房把 IPMI 禁了。目前来说,还没出问题,希望是解决了。
黑的原因和过程,我看了下 bash 日志和 auth 日志,猜测大致是这样的:
1. hacker 获取了 IPMI 密码,直接 console 操作。后台日志提示是 /dev/tty1 的登陆,意味着不是 ssh 被黑的;
2. hacker 直接传入 Ctrl+Alt+Del ,强制重启。系统启动时间是 10:42 ,重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着, hacker 可能进入了单用户模式,直接手动建了账号 naike ,并置 uid=0 ;
3. hacker 用 naike 账号登陆,并 su 提权,执行了操作,用 wget 下载了一个木马文件,并执行。
这个木马实际的作用,我看了下,应该是给一个境外 porn 网站做国内分流的,有点类似 cdn 那种。
感觉这个 hacker 也不是那种特别牛逼的,最大的线索应该就是登陆是 /dev/tty1 这个上面,这只能说明两种大的可能,第一就是 IPMI 密码泄露了,第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。
IPMI 被泄露这个,说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件,是不是抄送给了除了你以外的其他人(比如客服经理啥的),所以,你懂的。。。。。。。
黑的原因和过程,我看了下 bash 日志和 auth 日志,猜测大致是这样的:
1. hacker 获取了 IPMI 密码,直接 console 操作。后台日志提示是 /dev/tty1 的登陆,意味着不是 ssh 被黑的;
2. hacker 直接传入 Ctrl+Alt+Del ,强制重启。系统启动时间是 10:42 ,重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着, hacker 可能进入了单用户模式,直接手动建了账号 naike ,并置 uid=0 ;
3. hacker 用 naike 账号登陆,并 su 提权,执行了操作,用 wget 下载了一个木马文件,并执行。
这个木马实际的作用,我看了下,应该是给一个境外 porn 网站做国内分流的,有点类似 cdn 那种。
感觉这个 hacker 也不是那种特别牛逼的,最大的线索应该就是登陆是 /dev/tty1 这个上面,这只能说明两种大的可能,第一就是 IPMI 密码泄露了,第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。
IPMI 被泄露这个,说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件,是不是抄送给了除了你以外的其他人(比如客服经理啥的),所以,你懂的。。。。。。。
2017-03-18 02:25:55 +08:00 回复了 hadoop 创建的主题 › 问与答 › 服务器被未知“naike”账户从 tty1 登录,可能是啥问题? |
@hadoop 我去,我已经被这个 naike 骚扰两次了,第一次我感觉有异常,但是直接重装了
重装后,改了密码。 3 天后,第二次,又被 hack 了
同样也是 tty1 登陆的,并且在 tty1 登陆前有一次物理重启
最后你这个怎么解决的呢?
重装后,改了密码。 3 天后,第二次,又被 hack 了
同样也是 tty1 登陆的,并且在 tty1 登陆前有一次物理重启
最后你这个怎么解决的呢?
Select Language