转 (一次服务器被入侵的经历)
思索,对方是如何进来的呢?从last记录中可以看到对方的IP地址,并且是通过ssh方式登录的,那就不应该是从F5进来的,因为F5只开了80端口,并且没有做IP透射(如果从F5进来,就不会看到对方的公网IP)。对方可通过外网直接访问该主机,意识问网络的同事该主机是不是直接NAT到外网上了,很快得到了答复,果然被NAT到外网了,而且全部端口都打开了,天啊!原来之前这台机器为了从外部做测试省事把所以的端口都打开了,之后又没有及时关闭,这才被人扫描到了。
教训,1、不要把主机轻易NAT外网,映射时应具体到端口。有些端口是一定不要开的如ssh、telnet端口;2、root用户的密码要复杂,不要让对方轻易穷举到;3、做相应的安全设置,如禁止外网IP登录等。
?
?
?
?
修改root密码
CentOS
GRUB:在引导装载程序菜单上,键入 [e] 来进入编辑模式。你会面对一个引导项目列表。查找其中类似以下输出 的句行:
kernel /vmlinuz-2.4.18-0.4 ro root=/dev/hda2
按箭头键直到这一行被突出显示,然后按 [e]。你现在可在文本结尾处空一格再添加 1 来告诉 GRUB 引导单用户 Linux 模式。按 [Enter] 键来使编辑结果生效。
你会被带会编辑模式屏幕,从这里,按[b] , GRUB 就会引导单用户 Linux 模式。 结束载入后,你会面对一个与以下相似的 shell 提示:
sh-2.05#
现在,你便可以改变根命令,键入:
bash# passwd
Ubuntu则是
kernel?? /boot/vmlinuz-2.6.17-11-generic root=/dev/hda3 ro quiet single
