V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
scarecrow
V2EX  ›  信息安全

服务器被黑给我上了一课

  •  
  •   scarecrow · 2015-05-24 22:58:41 +08:00 · 7778 次点击
    这是一个创建于 3498 天前的主题,其中的信息可能已经有所发展或是发生改变。

    当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这次又遇到了服务器被黑。

    部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的却是一个安全意识,总以为服务器被攻击是一个小概率的事件。以前是这么考虑的“互联网上的主机那么多偏偏你的主机被黑客盯上? 这不跟重大奖一样么,我有那么幸运么?”虽然前一段时间自己的产品被当成木马已经是中了一次大奖了。所以心存侥幸心理,能省事就省事,先把服务部署起来能用就行,这也倒是符合我的极简主义行事风格。只有经历才能成长,这句话说的一点没错,感谢这个不太聪明的黑客给我上了一课,从此在做任何服务器部署和管理的时候我的脑袋里也多了一根弦儿“安全意识"。 事情是这样的 。。。

    全文见: http://www.jianshu.com/p/97b9dc47b88c

    45 条回复    2015-08-28 17:04:03 +08:00
    ShunYea
        1
    ShunYea  
       2015-05-24 23:24:26 +08:00 via Android
    非常不错,学习了。
    sivacohan
        2
    sivacohan  
       2015-05-24 23:25:27 +08:00 via Android
    你后面那段配置fail2ban就好了。
    cevincheung
        3
    cevincheung  
       2015-05-24 23:30:47 +08:00
    key认证登录的路过……欢迎爆破……
    tokki
        4
    tokki  
       2015-05-24 23:34:16 +08:00 via iPhone
    估计弱口令被扫到了 不要密码登录啦
    webjin
        5
    webjin  
       2015-05-24 23:42:32 +08:00
    修改一下ssh端口,然后再使用密钥登陆。
    dreamtrail
        6
    dreamtrail  
       2015-05-24 23:54:33 +08:00
    不应该重置系统么,说不定被装了rootkit
    RemRain
        7
    RemRain  
       2015-05-25 01:06:22 +08:00
    同上,之前中过一次,ssh、scp、sftp 全被替换了,不知道是 glibc so 文件被替换,还是被插了 rootkit,write、read 等重要函数被劫持,除了重装系统,根本没任何办法
    ZavierXu
        8
    ZavierXu  
       2015-05-25 02:15:46 +08:00
    “所以心存侥幸心理,能省事就省事,先把服务部署起来能用就行,这也倒是符合我的极简主义行事风格。” 这句话真是不敢苟同啊……极简主义!=懒
    AstroProfundis
        9
    AstroProfundis  
       2015-05-25 02:47:48 +08:00
    fail2ban, 大多数发行版的包用默认设置就可以挡掉暴力破解了
    然后关掉密码登录

    另外我之前机器被黑都是直接备份文件然后重装系统的,谁知道有没有啥小动作...以及备份下来的文件在恢复回去之前也要检查一遍
    kslr
        10
    kslr  
       2015-05-25 03:12:47 +08:00 via Android
    一键配置系统环境~~~
    sumhat
        11
    sumhat  
       2015-05-25 03:14:47 +08:00
    为什么不用证书登录?
    wisdom
        12
    wisdom  
       2015-05-25 03:32:37 +08:00
    不错的软文
    loading
        13
    loading  
       2015-05-25 06:35:58 +08:00 via Android
    反正我的服务器没东西~
    asj
        14
    asj  
       2015-05-25 06:40:31 +08:00 via iPad
    谁说是小概率事件?
    halczy
        15
    halczy  
       2015-05-25 06:49:27 +08:00 via iPhone
    不带套中招是迟早的事情,认为是小概率事件是自欺欺人。
    pimin
        16
    pimin  
       2015-05-25 06:51:18 +08:00 via iPhone
    密码登陆本身就不科学
    imnpc
        17
    imnpc  
       2015-05-25 07:43:47 +08:00
    Linux 直接使用KEY登录 或者配合 谷歌密码器

    WIN的话一般开登录域名机器名限制 + 强密码
    Marfal
        18
    Marfal  
       2015-05-25 08:03:19 +08:00
    请叫他们 骇客
    easynoder
        19
    easynoder  
       2015-05-25 08:40:53 +08:00
    很不错啊,不过可以采用 fail2ban 或者 key登陆的方式
    kongkongyzt
        20
    kongkongyzt  
       2015-05-25 08:48:42 +08:00
    最好再使用history命令查看黑客都干了啥
    qgy18
        21
    qgy18  
       2015-05-25 08:53:04 +08:00 via iPhone
    禁用 root 登录,禁用密码登录,fail2ban
    maxbon
        22
    maxbon  
       2015-05-25 08:54:29 +08:00
    其实防爆破你写个hosts脚本就好了
    zrp1994
        23
    zrp1994  
       2015-05-25 08:59:05 +08:00
    感谢分享
    scarecrow
        24
    scarecrow  
    OP
       2015-05-25 09:17:33 +08:00
    @ZavierXu 说的对,我也正是告诫自己,极简主义不等于懒。
    scarecrow
        25
    scarecrow  
    OP
       2015-05-25 09:27:39 +08:00
    @AstroProfundis 嗯,由于没有啥备份服务器,所以就先顶着,过一段时间重装吧。
    fuge
        26
    fuge  
       2015-05-25 09:29:47 +08:00
    我在iptables添加只允许公司ip登录
    zeayes
        27
    zeayes  
       2015-05-25 09:31:53 +08:00
    root密码、用户密码,都修改为uuid,改掉ssh端口,禁用root登录,禁止用密码认证,用sshkey登录。
    scarecrow
        28
    scarecrow  
    OP
       2015-05-25 09:50:19 +08:00
    @RemRain
    @dreamtrail

    目前没有备份服务器,先顶一段时间再考虑重置系统。
    itsjoke
        29
    itsjoke  
       2015-05-25 10:13:18 +08:00
    这都快成月经了
    上周还有介绍用2步验证登录的呢
    测试了一下,配置非常方便简单
    minongbang
        30
    minongbang  
       2015-05-25 10:14:20 +08:00
    google 二次验证 + 换端口 + 禁止root 登陆
    libook
        31
    libook  
       2015-05-25 10:33:23 +08:00
    呃,请叫他们骇客。。。
    建议可以尝试用一些白帽众测平台,可以测出安全问题。
    lyragosa
        32
    lyragosa  
       2015-05-25 11:06:44 +08:00
    @imnpc 啥 linux可以用二次验证?怎么玩?
    scarecrow
        33
    scarecrow  
    OP
       2015-05-25 11:09:51 +08:00
    @libook
    @a33004407

    是的应该叫骇客,文章已经更新。
    Bryan0Z
        34
    Bryan0Z  
       2015-05-25 11:28:51 +08:00 via Android
    学习一下
    kookxiang
        35
    kookxiang  
       2015-05-25 12:12:35 +08:00
    为啥不用公钥登陆?方便又安全,顺带改ssh端口
    imnpc
        36
    imnpc  
       2015-05-25 12:36:29 +08:00
    @lyragosa 我最早在兽兽的blog上看到过 http://ttt.tt/14/
    但是我用的centos 没成功
    后来自己搞成功了 http://www.imnpc.me/serversafe.html?page=4
    adoyle
        37
    adoyle  
       2015-05-25 12:52:03 +08:00
    好文点赞
    monkiely
        38
    monkiely  
       2015-05-25 13:06:52 +08:00
    1、软文的话目的达到;
    2、非软文的话记得下次整体环境内不要用国产软件。国内服务。
    anoymoux
        39
    anoymoux  
       2015-05-25 13:10:38 +08:00
    喜闻乐见
    scarecrow
        40
    scarecrow  
    OP
       2015-05-25 14:30:36 +08:00
    @monkiely 是软文,真实经历的软文,没有半点虚构。如果让我非要隐去自己产品的链接才达到非软文的标准,那就有点太刻意了。
    nuc093
        41
    nuc093  
       2015-05-25 14:34:06 +08:00
    @scarecrow 写的不错,是篇文章。
    scarecrow
        42
    scarecrow  
    OP
       2015-05-25 15:34:30 +08:00
    @nuc093 你这个评价太中肯了 :)
    love
        43
    love  
       2015-05-25 15:47:27 +08:00
    如果是用弱ssh密码被黑那真是没什么好说的完全是自找的
    nan0kai
        44
    nan0kai  
       2015-05-25 22:01:20 +08:00
    @monkiely 原来不只我一个
    canky
        45
    canky  
       2015-08-28 17:04:03 +08:00 via iPhone
    学习
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2750 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 02:19 · PVG 10:19 · LAX 18:19 · JFK 21:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.