|
 | 作者: TecZm [teczm]
 版主 |
登录 |
| 前天被攻破的,昨天花了一整天修复,该死的cracker在里面放了两个病毒,大大增加了我的工作量…… Redhat 8.0,提供ssh, apache + php + mysql, sendmail等服务。 我仔细研究了入侵者的动作,最后找出了他的入侵路线: 1、用猜简单密码的方法进入系统 2、用kernel brk a的漏洞进入root 3、安装自己的sshd,监听在101端口 4、修改netstat, ps,隐藏自己的sshd 5、用一段perl程序过滤所有的log,隐藏自己的入侵痕迹 6、安装一个IRC机器人,登录在undernet.org的几个channel里面 7、安装一个cron进行定期扫描,寻找下一个目标 我们对外提供的服务本身并没有漏洞,但是有个用户账号的密码太简单被猜出来了(该死的mail管理员竟然设置了一个test用户,密码test,而且她设置的所有用户的起始密码就是帐户名) 后来我根据他留下的痕迹进入了他的channel(us.undernet.org/#}),里面有几十个机器人,估计都是被攻击的linux,和入侵者简单对话,然后被迅速地踢了出来。 教训: 1、不要开测试账户,测试完成后及时rmuser 2、缺省的sendmail共用系统账户,这有很大的安全问题,当时图省事没有换用qmail,是个错误 3、少装应用,特别是setuid的应用。这次的cracker对setuid的程序做了很多尝试,虽然最后没有得手(因为我对应用是定期更新的) 4、对kernel的bug也要重视,我早就更新了kernel,但是一直没有reboot(这要怪我的小小虚荣心,机器已经uptime了400多天了,正打算让它破纪录呢  |
| 地主 发表时间: 04-08-03 07:21 |
 | 回复: keycao [keycao]  论坛用户 |
登录 |
|
我一台linux+tomcat的机子,密码算是比较复杂的, 也是被人攻破啦`` 现在是不停的有不同的IP连接,对方端口一直是6667, 请问,知道什么问题嘛?  |
| B1层 发表时间: 04-08-04 09:48 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: UNIX系统 标题: 悲剧:我维护的一台机器被攻破了……[转载]