Chinaunix

标题: 悲剧了，防火墙被攻破了。。。。 [打印本页]

作者: hackson99 时间: 2012-11-12 11:06
标题: 悲剧了，防火墙被攻破了。。。。
本帖最后由 hackson99 于 2012-11-12 11:28 编辑

....
Nov  9 06:37:29 bsd sshd[6654]: Invalid user ip from 122.194.200.3
Nov  9 06:37:30 bsd sshd[6656]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:31 bsd sshd[6658]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:32 bsd sshd[6660]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:32 bsd sshd[6662]: Invalid user janice from 122.194.200.3
Nov  9 06:37:33 bsd sshd[6664]: Invalid user javier from 122.194.200.3
Nov  9 06:37:34 bsd sshd[6666]: Invalid user jeremy from 122.194.200.3
Nov  9 06:37:35 bsd sshd[6668]: Invalid user jhshin from 122.194.200.3
.....
Nov  9 02:15:33 bsd su: wjm to root on /dev/pts/1
Nov  9 02:38:57 bsd nologin: Attempted login by wjm on /dev/pts/1
Nov  9 05:50:38 bsd sshd[2522]: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov  9 05:50:43 bsd sshd[2522]: error: PAM: authentication error for wjm from 192.168.1.233
Nov  9 05:51:13 bsd sshd[2526]: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov  9 05:51:17 bsd sshd[2526]: Accepted publickey for wjm from 192.168.1.233 port 1474 ssh
2
Nov  9 05:54:15 bsd su: wjm to root on /dev/pts/2
Nov  9 12:01:15 bsd sshd[2526]: fatal: login_init_entry: Cannot find user "wjm"
Nov  9 12:08:59 bsd sshd[1503]: fatal: login_init_entry: Cannot find user "wjm"
....
Nov 11 18:11:21 bsd sshd[30675]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30677]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30679]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30681]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:23 bsd sshd[30683]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:23 bsd sshd[30685]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:24 bsd sshd[30687]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:24 bsd sshd[30689]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:25 bsd sshd[30691]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:26 bsd sshd[30693]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:27 bsd sshd[30695]: Invalid user teamspeak3 from 222.23.50.196

估计是密码暴力破解了我登录名 wjm，然后，在/etc/passwd文件里把 wjm也删除了。。。悲剧呀，今晨上班只好拿着显示器和键盘来到机柜边接上主机，从新设置sshdconfig，sshd端口不对外了，只对内吧。

唉。。。还好，这些家伙手下留情，没有来个 rm  -rf /*

发现问题了，大家来看看啊：
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:

Charlie？？默认的root帐号会有这个东西吗？？
toor？？唉，终于找到潜伏的特务了。。。。。。还是Superuser。。。。。怪不得会把我的wjm用户名删除掉呢。

作者: iceblood 时间: 2012-11-12 12:30
本帖最后由 iceblood 于 2012-11-12 12:32 编辑

一、wjm应该是你自己不小心删除的。请看/var/log/userlog日志。
二、root和toor是freebsd的内置用户。
三、你应该查看/etc/master.passwd来查看toor用户是否被启用。
四、你这种武断的结果有贬低FreeBSD的嫌疑。

作者: linpay2000 时间: 2012-11-12 12:43
本帖最后由 linpay2000 于 2012-11-12 12:44 编辑

应该你自己是新手吧。呵呵。
wjm账号应该是你自己手动建立了后，没有设置密码吧。
别人利用你的弱口令，登录了，应该没有突破你的root用户。
所以不是别人手下留情，而是别人删除不了什么东东。

如果有水平的入侵者，绝对不会去动你现在账户的密码，因为一动你就知道了。
而且你的日志还在，有家用root，日志早没了。

作者: linpay2000 时间: 2012-11-12 12:48
你可以搞个jail，玩玩别人

作者: lsstarboy 时间: 2012-11-12 14:09
进入系统需要两步，首先要攻破wheel帐号，然后才能向root进攻，这两道都攻破，没有非凡的毅力是不行的。
toor是默认不启用。

另外，你的防火墙不加连接数限制吗？并发两个就足够了，就算并发10个，用暴力到密码的时间也不是一般的长，当然你要用字典上都有的密码，你就麻烦了，什么系统也是摆设。

作者: kisswen 时间: 2012-11-12 15:12
192.168.1.233

作者: hackson99 时间: 2012-11-12 17:54
各位言之有理，确实是原来的wjm帐号密码有点简单。从新设置了密码。另外，安装了sshguard。应该管点用吧。

作者: hackson99 时间: 2012-11-12 17:55
回复 5# lsstarboy

请教，ipf，怎么加连接数限制？？

作者: hackson99 时间: 2012-11-12 18:00
回复 2# iceblood

more /var/log/usrlog
2012-10-30 13:11:32 [root:useradd] wjm(1001):wheel(0):wjm:/home/wjm:/bin/csh
2012-10-30 13:11:32 [root:useradd] wjm(1001) home /home/wjm made
2012-10-30 16:59:57 [wjm:groupadd] dhcpd(136)
2012-10-30 16:59:57 [wjm:useradd] dhcpd(136):dhcpd(136):ISC DHCP daemon:/nonexistent:/usr/sbin/nologin
2012-10-31 10:25:02 [wjm:groupadd] squid(100)
2012-10-31 10:25:02 [wjm:useradd] squid(100):squid(100):Squid caching-proxy pseudo user:/var/squid:/usr/sbin/nologin

我没有删除wjm，但是日志里也没有显示删除，可是/etc/passwd里就是没有wjm的条目了。。。。

另外，谁可以帮忙登录系统查看一番？我很渴望高手降临。。。

作者: sopato 时间: 2012-11-12 18:20
最简单就是SSHD中设定AllowUsers只允许某些用户登录，启用文件证书认证，抛弃密码验证。

作者: lsstarboy 时间: 2012-11-13 08:24
回复 8# hackson99

不好意思，我只懂ipfw，下面的命令限制５条连接，端口是22，外网网卡是em0；

ipfw add allow ip from any to me 22 in via em0 limit src-addr 5

作者: hackson99 时间: 2012-11-13 08:52
回复 10# sopato

嗯。已经更改成密钥认证了，把密码认证关掉了。换了个端口。装上了sshguard。不过，我担心会不会被按上后门木马什么的，查都查不到的那种。
不过，话又说回来，仅仅是一个网关而已，才2M的带宽，不行就直接用tplink了，也没什么东西。呵呵

以前只是学习bsd，这回总算是真的用上了，好歹也是生产环境，经历一点风波，也认识了以上各位朋友，又学习了安全方面的一些知识，我内心其实蛮欢喜的。呵呵

作者: hackson99 时间: 2012-11-13 08:53
回复 11# lsstarboy

谢谢大虾，ipf应该也有相应的设置的。思路应该都一样。我看看资料。谢谢～～

作者: hackson99 时间: 2012-11-14 10:02
今早来公司，从新启动bsd机器后，内网上不了网了，登录bsd，dig正常。查看ipf.rules，竟然是空的！！！悲剧了又，被人给清空防火墙了！

怎么进入机器的他们？看来肯定是给安装上后门了。。。。防都方不住啊。。。。。

作者: shang2010 时间: 2012-11-15 12:02
密码太简单了，

上线的项目，密码可是关键哦

作者: congli 时间: 2012-11-16 11:01
重做系统比较安全吧.
不重做系统,至少也make world一次,检查所有可能启动脚本,程序的地方.
对系统程序来个chflags, 设置内核安全级数.

作者: kisswen 时间: 2012-11-16 16:22
不是吧
我一台fb的机子挂在外网上没开防火墙都没事

作者: hackson99 时间: 2012-11-16 16:30
回复 17# kisswen

那你默认没开22端口吧？默认没开远程登录的其他端口吧？

作者: kisswen 时间: 2012-11-16 16:35
之前也是默认22端口
只是每天看到很多试密码的烦，最近才改了默认端口

作者: muwanqing_cu 时间: 2012-11-16 18:25
不会是远程溢出搞定的吧

作者: lsstarboy 时间: 2012-11-16 19:18
回复 20# muwanqing_cu

你别吓唬人啊！sshd可以溢出麻烦可就大了。

作者: muwanqing_cu 时间: 2012-11-16 23:27
回复 21# lsstarboy

也可能用的是别的服务程序

作者: llzqq 时间: 2012-11-19 16:57
还有人用密码认证登录系统？赶快醒醒吧。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)