Chinaunix

标题: 黑客无处不在，跪了 [打印本页]

作者: webdna 时间: 2013-05-14 09:40
标题: 黑客无处不在，跪了
搞了一台Debian在局域网，说白了，就一台能上网的内网Debian,就只用来内部测试一下网页。按理由外网是访问不了的，密码当然就用了最简单的那个123456，公司里也根本不可能有人会动那台Debian.
天呀，密码竟被外面改了。

May 14 02:32:52 debian sshd[18109]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=46.165.236.153 user=root
May 14 02:32:54 debian sshd[18109]: Failed password for root from 46.165.236.153 port 54749 ssh2
May 14 02:33:00 debian sshd[18112]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=46.165.236.153 user=root
May 14 02:33:02 debian sshd[18112]: Failed password for root from 46.165.236.153 port 55254 ssh2
May 14 02:45:28 debian sshd[18115]: Accepted password for root from 212.52.164.171 port 46189 ssh2
May 14 02:45:28 debian sshd[18115]: pam_unix(sshd:session): session opened for user root by (uid=0)
May 14 02:45:44 debian passwd[18133]: pam_unix(passwd:chauthtok): password changed for root
May 14 02:46:01 debian CRON[18152]: pam_unix(cron:session): session opened for user root by (uid=0)
May 14 02:46:01 debian CRON[18152]: pam_unix(cron:session): session closed for user root
May 14 02:46:03 debian sshd[18115]: syslogin_perform_logout: logout() returned an error

真搞不明白，是怎样能进得了内网的。。。。。。。。想不到连我内网的linux也感兴趣

作者: chenyx 时间: 2013-05-14 09:47
用ssh连入的.你的网关处没有防火墙吗

作者: webdna 时间: 2013-05-14 09:54
真没防火墙，但按理由，我只是内网的，他怎么知道我内网IP呢？

作者: chenyx 时间: 2013-05-14 10:00
你是不是做过地址映射?

作者: webdna 时间: 2013-05-14 10:17
这个映射也是其它IP上的，没映射到这个服务器上。

作者: chenyx 时间: 2013-05-14 10:19
那不应该啊.没映射,他怎么能访问到内部呢.

作者: webdna 时间: 2013-05-14 10:24
我也奇怪，我有两个公网IP只是映射到其它两个内网IP上，根本上和我这台debian没关系的，这台只是一台内部自己测试的debian，就安装web和开了ssh给自己内网连上去。

作者: liduan123 时间: 2013-05-14 10:30
你内网已经被人拿了

作者: webdna 时间: 2013-05-14 10:33
没那么容易，就一些办公的XP，晚上基本都关电脑。
如果他透过其它电脑进入我debian，就不应该记录下他的IP。而且两个IP都是不同国家的，我极度怀疑Debian也不安全，极有可能在安装软件包时有bug

liduan123 发表于 2013-05-14 10:30
你内网已经被人拿了

作者: webdna 时间: 2013-05-14 10:36
已经不是第一次了，早几个月也是用123456被别人改过密码。那时我只是在内网搞个FTP自己测试。两次安装的软件都不一样。

作者: chenyx 时间: 2013-05-14 10:42
检查下那两个有映射的机器,看看有没有后门之类的

作者: 方兆国 时间: 2013-05-14 13:00
不科学啊,没有设置DMZ主机和虚拟服务器的话,别人怎么能够访问你的内网

作者: lbseraph 时间: 2013-05-14 19:11
换个复杂点的密码吧，这个太简单了。说不定几个月前的时候人家发现了就再hack来完了。

作者: webdna 时间: 2013-05-15 09:01
百思不解之下，重查路由，发现竟映射了该IP

作者: chenyx 时间: 2013-05-15 09:12

,将一个弱口令的机器放到公网上,不被黑才怪呢

作者: dell-sz 时间: 2013-05-19 10:21
提示: 作者被禁止或删除内容自动屏蔽

作者: lbseraph 时间: 2013-05-19 16:59
真相大白了~

作者: wenhq 时间: 2013-05-20 08:46
高手! 安全啊

作者: roof009 时间: 2013-05-21 10:07
哈哈感觉像是在看故事。顺便涨点姿势。

作者: byswuyong 时间: 2013-05-21 19:15
感觉好遥远~~~~

作者: sopato 时间: 2013-05-21 20:41
我感觉就是做了DMZ进来的访问，不然怎么能有外部的ssh连接进来呢，这分析一下就知道了。

作者: 1209175180 时间: 2016-04-04 12:54
你是用别的系统往里跳吧，看一下那个跳板机，是不是被黑了。

作者: yjh777 时间: 2016-04-07 17:13
回复 27# 1209175180

楼主在 18 楼给答案了，，
http://bbs.chinaunix.net/forum.p ... mp;fromuid=12076195

13年的贴子竟然被翻出来了

作者: h101com 时间: 2016-04-21 16:12
这种问题建议不要放这边讨论！

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)