V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Sherlockhlt
V2EX  ›  问与答

电脑root密码被修改了,现在刚改回来,我该做些什么?如何知道他做了些什么?

  •  
  •   Sherlockhlt · 2014-01-17 10:59:08 +08:00 · 3739 次点击
    这是一个创建于 3992 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天开机发现电脑root密码被修改了

    $lastlog

    用户名 端口 来自 最后登陆时间
    root pts/0 61.132.122.76 四 1月 16 18:17:07 +0800 2014

    在启动项那里的末端添加

    /init=/bin/bash

    然后可以以root进入电脑,修改回密码。

    现在我该做些什么?如何知道他做了些什么?

    电脑的服务我只开了sshd,是不是它出现漏洞被攻击了?
    16 条回复    1970-01-01 08:00:00 +08:00
    Comphuse
        1
    Comphuse  
       2014-01-17 12:01:05 +08:00
    It doesn't make sense to investigate into it, especially when you seems to be a newbie. Just wipe out the whole disk, reinstall your OS, and change your passwords of every single accounts you can remember.
    Comphuse
        2
    Comphuse  
       2014-01-17 12:06:33 +08:00
    If you had a backup, it would be possible to diff <i>yourmachine</i> <i>backup</i> offline using a Linux live USB.
    Just backup up (non-exectable) data and reinstall. After reinstalling, log into your router to see if the DNS configuration is tampered by the intruder, because if you stored the username & password of the router control pannel in your browser, he might have been able to to that.
    Sorry for answering in English, no IME available at the moment.
    liuyi_beta
        3
    liuyi_beta  
       2014-01-17 12:11:25 +08:00
    用history查看历史命令,用ps看有无异常进程,用netstat查看有无后门连接,等等。然后再分析/var/log目录下的各种日志,如果是被入侵了肯定会留下各种痕迹的。
    zjgood
        4
    zjgood  
       2014-01-17 12:56:12 +08:00 via Android
    @Comphuse 哇呀呀,我现在高二英语居然流畅的看完了:)
    duzhe0
        5
    duzhe0  
       2014-01-17 13:02:07 +08:00
    查看/etc/passwd看有没有可疑的帐号
    查找系统里所有有ssid权限的可执行文件看有没有可疑的可执行文件
    查看所有用户的crontab看有没有可疑的计划任务
    查看所有用户家目录下的.ssh/authorized_keys中有没有可疑的设置
    查看源有没有被修改
    重新安装openssh

    ---
    要想确认没有被留下后门非常困难,最简单的还是备份后全盘格式化,重装系统
    Lax
        6
    Lax  
       2014-01-17 13:07:13 +08:00
    init=/bin/bash 进单用户模式了,应该可以直接接触你的机器。有没有做其它行为,估计看不出来了。

    平时抓包看看有没有可疑的数据。
    duzhe0
        7
    duzhe0  
       2014-01-17 13:07:44 +08:00
    每一个运行中的可执行程序,都有可能是被黑客替换过的hack过的版本,所以理论上讲,一个系统只要被侵入过, 那除了重装系统,没有什么好办法(时间成本上)保证系统是没有后门的。
    Sherlockhlt
        8
    Sherlockhlt  
    OP
       2014-01-17 13:35:40 +08:00
    @liuyi_beta

    $sudo netstat -antp

    激活Internet连接 (服务器和已建立连接的)
    Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
    tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN -
    tcp 0 0 0.0.0.0:45323 0.0.0.0:* LISTEN 1027/rpc.mountd
    tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 729/smbd
    tcp 0 0 0.0.0.0:59087 0.0.0.0:* LISTEN 850/rpc.statd
    tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 620/portmap
    tcp 0 0 0.0.0.0:35667 0.0.0.0:* LISTEN -
    tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 1239/dnsmasq
    tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1349/sshd
    tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 1097/cupsd
    tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 729/smbd
    tcp6 0 0 :::22 :::* LISTEN 1349/sshd
    tcp6 0 0 ::1:631 :::* LISTEN 1097/cupsd

    看不出来哪个有问题。

    ps太长了,该怎么看?

    /var/log/auth.log看了,发现居然有四五个ip一直在攻击我的电脑,昨天下午一个攻击成功了。。

    因为是实验室的试验机,重装很麻烦,也没有什么重要的东西,暂时不想重装了。
    Sherlockhlt
        9
    Sherlockhlt  
    OP
       2014-01-17 13:45:57 +08:00
    @duzhe0

    /etc/passwd居然在一个月前就被修改过了,不过看不出来是修改了什么
    其他真的看不出来,.ssh下面的文件没有被改动,crontab -l也没有任务,源和hosts也没改
    对了,ssid文件是指哪些?
    我待会重装下openssh,我觉得有那么多人攻击,估计是openssh出漏洞了
    Sherlockhlt
        10
    Sherlockhlt  
    OP
       2014-01-17 14:12:47 +08:00
    刚刚重装了最新的openssh了,现在不知道做什么好了
    @duzhe0
    66450146
        11
    66450146  
       2014-01-17 14:15:38 +08:00
    @Sherlockhlt 重装系统吧
    Sherlockhlt
        12
    Sherlockhlt  
    OP
       2014-01-17 15:27:17 +08:00   ❤️ 1
    刚刚看了日志,奇怪的是他一入侵成功就修改了我的root密码,然后什么都没做,他这么做不是会引起我的注意吗?
    liuyi_beta
        13
    liuyi_beta  
       2014-01-17 16:51:30 +08:00
    @Sherlockhlt ps看一下有没有异常进程就好了,这个得考经验。估计是你设置了弱密码才被人黑进来的。
    Tinet
        14
    Tinet  
       2014-01-18 11:39:54 +08:00
    @zjgood 你让我这个过了六级的还看得不流畅的情何以堪
    zjgood
        15
    zjgood  
       2014-01-19 07:44:25 +08:00 via iPhone
    @Tinet 嘿嘿,我上英语课都没怎么听讲,平时都是靠周末上网查资料学的,Linux真是个学英语的好工具~~:)
    duzhe0
        16
    duzhe0  
       2014-01-20 00:44:42 +08:00
    @Sherlockhlt 如果只是本地日志的话, 可以备份然后留下后门后恢复的。而且如果他愿意, 一切痕迹都可以清除掉。除非日志是实时写到另一台安全的机器上的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1145 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:41 · PVG 07:41 · LAX 15:41 · JFK 18:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.