悲剧了,防火墙被攻破了。。。。
本帖最后由 hackson99 于 2012-11-12 11:28 编辑....
Nov9 06:37:29 bsd sshd: Invalid user ip from 122.194.200.3
Nov9 06:37:30 bsd sshd: Invalid user jacob from 122.194.200.3
Nov9 06:37:31 bsd sshd: Invalid user jacob from 122.194.200.3
Nov9 06:37:32 bsd sshd: Invalid user jacob from 122.194.200.3
Nov9 06:37:32 bsd sshd: Invalid user janice from 122.194.200.3
Nov9 06:37:33 bsd sshd: Invalid user javier from 122.194.200.3
Nov9 06:37:34 bsd sshd: Invalid user jeremy from 122.194.200.3
Nov9 06:37:35 bsd sshd: Invalid user jhshin from 122.194.200.3
.....
Nov9 02:15:33 bsd su: wjm to root on /dev/pts/1
Nov9 02:38:57 bsd nologin: Attempted login by wjm on /dev/pts/1
Nov9 05:50:38 bsd sshd: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov9 05:50:43 bsd sshd: error: PAM: authentication error for wjm from 192.168.1.233
Nov9 05:51:13 bsd sshd: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov9 05:51:17 bsd sshd: Accepted publickey for wjm from 192.168.1.233 port 1474 ssh
2
Nov9 05:54:15 bsd su: wjm to root on /dev/pts/2
Nov9 12:01:15 bsd sshd: fatal: login_init_entry: Cannot find user "wjm"
Nov9 12:08:59 bsd sshd: fatal: login_init_entry: Cannot find user "wjm"
....
Nov 11 18:11:21 bsd sshd: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:22 bsd sshd: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:23 bsd sshd: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:23 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:24 bsd sshd: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:24 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:25 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:26 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:27 bsd sshd: Invalid user teamspeak3 from 222.23.50.196
估计是密码暴力破解了我登录名 wjm,然后,在/etc/passwd文件里把 wjm也删除了。。。悲剧呀,今晨上班只好拿着显示器和键盘来到机柜边接上主机,从新设置sshdconfig,sshd端口不对外了,只对内吧。
唉。。。还好,这些家伙手下留情,没有来个 rm-rf /*
:dizzy: :dizzy:
发现问题了,大家来看看啊:
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
Charlie??默认的root帐号会有这个东西吗??
toor??唉,终于找到潜伏的特务了。。。。。。还是Superuser。。。。。怪不得会把我的wjm用户名删除掉呢。 本帖最后由 iceblood 于 2012-11-12 12:32 编辑
一、wjm应该是你自己不小心删除的。请看/var/log/userlog日志。
二、root和toor是freebsd的内置用户。
三、你应该查看/etc/master.passwd来查看toor用户是否被启用。
四、你这种武断的结果有贬低FreeBSD的嫌疑。 本帖最后由 linpay2000 于 2012-11-12 12:44 编辑
应该你自己是新手吧。呵呵。
wjm账号应该是你自己手动建立了后,没有设置密码吧。
别人利用你的弱口令,登录了,应该没有突破你的root用户。
所以不是别人手下留情,而是别人删除不了什么东东。
如果有水平的入侵者,绝对不会去动你现在账户的密码,因为一动你就知道了。
而且你的日志还在,有家用root,日志早没了。 你可以搞个jail,玩玩别人 进入系统需要两步,首先要攻破wheel帐号,然后才能向root进攻,这两道都攻破,没有非凡的毅力是不行的。
toor是默认不启用。
另外,你的防火墙不加连接数限制吗?并发两个就足够了,就算并发10个,用暴力到密码的时间也不是一般的长,当然你要用字典上都有的密码,你就麻烦了,什么系统也是摆设。
192.168.1.233 各位言之有理,确实是原来的wjm帐号密码有点简单。从新设置了密码。另外,安装了sshguard。应该管点用吧。 回复 5# lsstarboy
请教,ipf,怎么加连接数限制?? 回复 2# iceblood
more /var/log/usrlog
2012-10-30 13:11:32 wjm(1001):wheel(0):wjm:/home/wjm:/bin/csh
2012-10-30 13:11:32 wjm(1001) home /home/wjm made
2012-10-30 16:59:57 dhcpd(136)
2012-10-30 16:59:57 dhcpd(136):dhcpd(136):ISC DHCP daemon:/nonexistent:/usr/sbin/nologin
2012-10-31 10:25:02 squid(100)
2012-10-31 10:25:02 squid(100):squid(100):Squid caching-proxy pseudo user:/var/squid:/usr/sbin/nologin
我没有删除wjm,但是日志里也没有显示删除,可是/etc/passwd里就是没有wjm的条目了。。。。
另外,谁可以帮忙登录系统查看一番?我很渴望高手降临。。。 最简单就是SSHD中设定AllowUsers只允许某些用户登录,启用文件证书认证,抛弃密码验证。