悲剧了，防火墙被攻破了。。。。

hackson99

....
Nov  9 06:37:29 bsd sshd[6654]: Invalid user ip from 122.194.200.3
Nov  9 06:37:30 bsd sshd[6656]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:31 bsd sshd[6658]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:32 bsd sshd[6660]: Invalid user jacob from 122.194.200.3
Nov  9 06:37:32 bsd sshd[6662]: Invalid user janice from 122.194.200.3
Nov  9 06:37:33 bsd sshd[6664]: Invalid user javier from 122.194.200.3
Nov  9 06:37:34 bsd sshd[6666]: Invalid user jeremy from 122.194.200.3
Nov  9 06:37:35 bsd sshd[6668]: Invalid user jhshin from 122.194.200.3
.....
Nov  9 02:15:33 bsd su: wjm to root on /dev/pts/1
Nov  9 02:38:57 bsd nologin: Attempted login by wjm on /dev/pts/1
Nov  9 05:50:38 bsd sshd[2522]: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov  9 05:50:43 bsd sshd[2522]: error: PAM: authentication error for wjm from 192.168.1.233
Nov  9 05:51:13 bsd sshd[2526]: Address 192.168.1.233 maps to localhost, but this does not
map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Nov  9 05:51:17 bsd sshd[2526]: Accepted publickey for wjm from 192.168.1.233 port 1474 ssh
2
Nov  9 05:54:15 bsd su: wjm to root on /dev/pts/2
Nov  9 12:01:15 bsd sshd[2526]: fatal: login_init_entry: Cannot find user "wjm"
Nov  9 12:08:59 bsd sshd[1503]: fatal: login_init_entry: Cannot find user "wjm"
....
Nov 11 18:11:21 bsd sshd[30675]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30677]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30679]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:22 bsd sshd[30681]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:23 bsd sshd[30683]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:23 bsd sshd[30685]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:24 bsd sshd[30687]: Invalid user teamspeak from 222.23.50.196
Nov 11 18:11:24 bsd sshd[30689]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:25 bsd sshd[30691]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:26 bsd sshd[30693]: Invalid user teamspeak3 from 222.23.50.196
Nov 11 18:11:27 bsd sshd[30695]: Invalid user teamspeak3 from 222.23.50.196



估计是密码暴力破解了我登录名 wjm，然后，在/etc/passwd文件里把 wjm也删除了。。。悲剧呀，今晨上班只好拿着显示器和键盘来到机柜边接上主机，从新设置sshdconfig，sshd端口不对外了，只对内吧。

唉。。。还好，这些家伙手下留情，没有来个 rm  -rf /*




发现问题了，大家来看看啊：
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:


Charlie？？默认的root帐号会有这个东西吗？？
toor？？唉，终于找到潜伏的特务了。。。。。。还是Superuser。。。。。怪不得会把我的wjm用户名删除掉呢。

iceblood

一、wjm应该是你自己不小心删除的。请看/var/log/userlog日志。
二、root和toor是freebsd的内置用户。
三、你应该查看/etc/master.passwd来查看toor用户是否被启用。
四、你这种武断的结果有贬低FreeBSD的嫌疑。

linpay2000

应该你自己是新手吧。呵呵。
wjm账号应该是你自己手动建立了后，没有设置密码吧。
别人利用你的弱口令，登录了，应该没有突破你的root用户。
所以不是别人手下留情，而是别人删除不了什么东东。


如果有水平的入侵者，绝对不会去动你现在账户的密码，因为一动你就知道了。
而且你的日志还在，有家用root，日志早没了。

linpay2000

你可以搞个jail，玩玩别人

lsstarboy

进入系统需要两步，首先要攻破wheel帐号，然后才能向root进攻，这两道都攻破，没有非凡的毅力是不行的。
toor是默认不启用。

另外，你的防火墙不加连接数限制吗？并发两个就足够了，就算并发10个，用暴力到密码的时间也不是一般的长，当然你要用字典上都有的密码，你就麻烦了，什么系统也是摆设。

kisswen

192.168.1.233

hackson99

各位言之有理，确实是原来的wjm帐号密码有点简单。从新设置了密码。另外，安装了sshguard。应该管点用吧。

hackson99

回复 5# lsstarboy


    请教，ipf，怎么加连接数限制？？

hackson99

回复 2# iceblood

more /var/log/usrlog
    2012-10-30 13:11:32 [root:useradd] wjm(1001):wheel(0):wjm:/home/wjm:/bin/csh
2012-10-30 13:11:32 [root:useradd] wjm(1001) home /home/wjm made
2012-10-30 16:59:57 [wjm:groupadd] dhcpd(136)
2012-10-30 16:59:57 [wjm:useradd] dhcpd(136):dhcpd(136):ISC DHCP daemon:/nonexistent:/usr/sbin/nologin
2012-10-31 10:25:02 [wjm:groupadd] squid(100)
2012-10-31 10:25:02 [wjm:useradd] squid(100):squid(100):Squid caching-proxy pseudo user:/var/squid:/usr/sbin/nologin


我没有删除wjm，但是日志里也没有显示删除，可是/etc/passwd里就是没有wjm的条目了。。。。

另外，谁可以帮忙登录系统查看一番？我很渴望高手降临。。。

sopato

最简单就是SSHD中设定AllowUsers只允许某些用户登录，启用文件证书认证，抛弃密码验证。