Kazimieras Aliulis Asked: 2009-05-13 23:50:22 +0800 CST2009-05-13 23:50:22 +0800 CST 2009-05-13 23:50:22 +0800 CST 在linux上被黑的真实经历? 772 我想听听真实的故事,你的 linux 机器/服务器是如何被黑客入侵的,以及你如何避免再次落入同一个洞。 linux security hacking 7 个回答 Voted WerkkreW 2009-05-14T07:53:09+08:002009-05-14T07:53:09+08:00 大约 2 年前,我的一台位于同一地点的 Web 服务器被黑客入侵。我发现漏洞存在于我正在运行的一个 PHP 脚本中,这是一个旧版本的 PHPBB。黑客基本上是利用一个洞在我的服务器上放置一个脚本并执行它,这使他可以完全访问服务器。 幸运的是,他没有造成任何损害,他只是安装了一个新网站,以便从我的盒子中提供服务。 有一天,我正在查看日志,因为我看到我的带宽使用量猛增,我发现他在我的服务器上安装了另一个网站的欺骗副本。从本质上讲,这是对手表在线商店的一个简单拼写错误,我相信他在卖手表,收钱,显然从不给任何人寄任何东西。 在我发现这一点后,我复制了他所做的一切——日志、脚本、整个网站,并将其存档并将其发送给我的托管服务提供商。 我清理了他的踪迹,并开始保护我的服务器。 结果,我学到了很多关于 Linux 安全的知识,并且做了几件事: 加强了我的 SSH 安全性,包括在非标准端口上运行它。 chroot 的阿帕奇 安装并配置了 apache mod_security(太棒了) 开始运行一些日志监控/入侵检测脚本 杀死在我没有积极使用的端口上运行的所有进程 结果,从那以后我就没有被黑客入侵过,每当有人尝试时,我都会收到警报。 如果您的服务器是标准的网络/电子邮件服务器,那么您的服务器可能被黑客入侵的一些最简单的方法是通过常见的脚本漏洞。如果您正在运行电子邮件服务器,您还应该采取额外的措施,以确保您不是任何类型的开放中继,垃圾邮件发送者会找到您,并且突然间所有来自您服务器的电子邮件都会被列入黑名单。 vava 2009-05-14T02:20:58+08:002009-05-14T02:20:58+08:00 几年前,我创建了一个名称由两个符号组成的用户。我没想到这个帐户所针对的经验丰富的黑客可以使用他的登录名作为密码。当然那台机器在一周内就被黑了,当我问那个人他在想什么时,他告诉我他不知道有人可以检查服务器上所有可能的短用户名,他肯定没有人可以获取用户列表,所以他认为他足够安全。 黑客安装了某种后门,并可能使用这台机器发送垃圾邮件。幸运的是,它不是那么重要的服务器,所以我们只是在上面重新安装了操作系统。 Alistair Knock 2009-05-14T00:24:05+08:002009-05-14T00:24:05+08:00 托管解决方案(不受支持的专用服务器)便宜且听起来很酷,我真的不知道自己在做什么,没有使系统保持最新状态,而且我可能在 iptables/ipchains 配置方面做了一些坏事。有一天在西欧背包旅行时,我打开了这个网站,但那里什么也没有。 我的解决方案是放弃一切并信任其他人,直到我获得更多服务器管理经验为止;那是大约 7 年前的事了,我仍然相信另一个人! Patrick Cornelissen 2009-05-14T01:59:25+08:002009-05-14T01:59:25+08:00 大约 5 年前,我在我们大学担任系统管理员,我们的工作站运行过时版本的 suse(这不是我的错!)被 ssh 漏洞攻击,顺便说一句,矩阵中也使用了该漏洞。 结果我们的老板删除了通往网关的路由来“屏蔽”我们的工作站,因为它们无法连接到外部世界。两个网络中只有一台服务器,从外部用作登录服务器...... Zoredache 2009-05-14T00:16:03+08:002009-05-14T00:16:03+08:00 许多年前,我在某种程度上负责客户系统。该系统没有被修补,并且不知何故已从我要维护的系统列表中删除。 bind 中的一个安全漏洞允许某人进入系统并获得 root 权限。他们使用该系统发送垃圾邮件并设置了网络服务器。虽然在系统上安装了 bind 它实际上并没有被用于任何事情 入侵的结果 拉下高清以防警察想看 在新硬盘上重新安装操作系统 从较旧的备份中恢复数据 删除作为攻击媒介的不需要的包(绑定)。 应用安全补丁,并设置系统在需要安装补丁时通知系统所有者 为我们所有的系统设置更好的活动记录 调整了我们的备份选择,因为有几件事被忽略了。 Eddie 2009-05-14T08:46:57+08:002009-05-14T08:46:57+08:00 去年 12 月,我的主 Linux 服务器通过 selinux 的工具收到了很多投诉setroubleshooter。这两个类别是 SELinux 正在阻止 sh 使用可能被错误标记的文件 (./x)。 SELinux 阻止 http 守护进程连接到自身或中继端口 查看我的 HTTP 访问日志,我看到了类似的行 74.247.251.227 - - [05/Dec/2008:04:32:11 -0600] "POST /wordtrans/wordtrans.php HTTP/1.1" 200 1348 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" 查看 HTTP 错误日志,我也看到了投诉。然后,我自己使用 wordtrans 来比较真实用途和我在日志中的用途;我安装了 wordtrans 作为我并不真正需要的玩具。真正使用 wordtrans 有很多 GET 和一些 POST。攻击只有 POST。 我在 Google 上搜索了“http 攻击 wordtrans”,发现我安装的版本是可攻击的,所以我立即卸载了该wordtrans-web软件包。 如果我没有运行 selinux,攻击肯定会成功,而我也不知道。 这是另一个教训,不要运行您并不真正需要的任何服务(暴露于公共互联网)。每个安装的服务,无论多么小,包括 PHP 包、Web 服务等,都是潜在的攻击媒介。此外,几个月前我决定通过该安装启用 selinux 是一个很好的决定。 Michael Kohne 2009-05-15T12:14:02+08:002009-05-15T12:14:02+08:00 几年前,我们在大学校园里安装了一个系统(连接到大学网络)。大约2天就生根了。由于我们可以轻松更换它,我们只是重写了驱动器并在系统上运行 Nmap,然后重新连接到校园网络。
大约 2 年前,我的一台位于同一地点的 Web 服务器被黑客入侵。我发现漏洞存在于我正在运行的一个 PHP 脚本中,这是一个旧版本的 PHPBB。黑客基本上是利用一个洞在我的服务器上放置一个脚本并执行它,这使他可以完全访问服务器。
幸运的是,他没有造成任何损害,他只是安装了一个新网站,以便从我的盒子中提供服务。
有一天,我正在查看日志,因为我看到我的带宽使用量猛增,我发现他在我的服务器上安装了另一个网站的欺骗副本。从本质上讲,这是对手表在线商店的一个简单拼写错误,我相信他在卖手表,收钱,显然从不给任何人寄任何东西。
在我发现这一点后,我复制了他所做的一切——日志、脚本、整个网站,并将其存档并将其发送给我的托管服务提供商。
我清理了他的踪迹,并开始保护我的服务器。
结果,我学到了很多关于 Linux 安全的知识,并且做了几件事:
结果,从那以后我就没有被黑客入侵过,每当有人尝试时,我都会收到警报。
如果您的服务器是标准的网络/电子邮件服务器,那么您的服务器可能被黑客入侵的一些最简单的方法是通过常见的脚本漏洞。如果您正在运行电子邮件服务器,您还应该采取额外的措施,以确保您不是任何类型的开放中继,垃圾邮件发送者会找到您,并且突然间所有来自您服务器的电子邮件都会被列入黑名单。
几年前,我创建了一个名称由两个符号组成的用户。我没想到这个帐户所针对的经验丰富的黑客可以使用他的登录名作为密码。当然那台机器在一周内就被黑了,当我问那个人他在想什么时,他告诉我他不知道有人可以检查服务器上所有可能的短用户名,他肯定没有人可以获取用户列表,所以他认为他足够安全。
黑客安装了某种后门,并可能使用这台机器发送垃圾邮件。幸运的是,它不是那么重要的服务器,所以我们只是在上面重新安装了操作系统。
托管解决方案(不受支持的专用服务器)便宜且听起来很酷,我真的不知道自己在做什么,没有使系统保持最新状态,而且我可能在 iptables/ipchains 配置方面做了一些坏事。有一天在西欧背包旅行时,我打开了这个网站,但那里什么也没有。
我的解决方案是放弃一切并信任其他人,直到我获得更多服务器管理经验为止;那是大约 7 年前的事了,我仍然相信另一个人!
大约 5 年前,我在我们大学担任系统管理员,我们的工作站运行过时版本的 suse(这不是我的错!)被 ssh 漏洞攻击,顺便说一句,矩阵中也使用了该漏洞。
结果我们的老板删除了通往网关的路由来“屏蔽”我们的工作站,因为它们无法连接到外部世界。两个网络中只有一台服务器,从外部用作登录服务器......
许多年前,我在某种程度上负责客户系统。该系统没有被修补,并且不知何故已从我要维护的系统列表中删除。
bind 中的一个安全漏洞允许某人进入系统并获得 root 权限。他们使用该系统发送垃圾邮件并设置了网络服务器。虽然在系统上安装了 bind 它实际上并没有被用于任何事情
入侵的结果
去年 12 月,我的主 Linux 服务器通过 selinux 的工具收到了很多投诉
setroubleshooter。这两个类别是查看我的 HTTP 访问日志,我看到了类似的行
查看 HTTP 错误日志,我也看到了投诉。然后,我自己使用 wordtrans 来比较真实用途和我在日志中的用途;我安装了 wordtrans 作为我并不真正需要的玩具。真正使用 wordtrans 有很多 GET 和一些 POST。攻击只有 POST。
我在 Google 上搜索了“http 攻击 wordtrans”,发现我安装的版本是可攻击的,所以我立即卸载了该
wordtrans-web软件包。如果我没有运行 selinux,攻击肯定会成功,而我也不知道。
这是另一个教训,不要运行您并不真正需要的任何服务(暴露于公共互联网)。每个安装的服务,无论多么小,包括 PHP 包、Web 服务等,都是潜在的攻击媒介。此外,几个月前我决定通过该安装启用 selinux 是一个很好的决定。
几年前,我们在大学校园里安装了一个系统(连接到大学网络)。大约2天就生根了。由于我们可以轻松更换它,我们只是重写了驱动器并在系统上运行 Nmap,然后重新连接到校园网络。