晚上2点被客户的电话吵醒,server当掉了。
tnnd,第一次被人这个时候吵醒。
隧起来开机login server, ps aux看一下,一切正常阿。
询问之。答曰:SIP服务不能正常使用了。
check log, 噢,域名解析失败。查看 resolv.conf, 只有一个ip, ping之,不通。
换之,隧将必须解析的域名直接写入/etc/hosts中。
客户:好了,正常了。
刚准备下,习惯性的 lsof -i -n -P看一下,啊?!!居然多出个./xgcc, 啥玩意?
last之,考,居然有test用户登录!kill之,vi /etc/passwd, 封之。
xgcc, kill之。一切归于平静。开始检查系统。。。。
原来机器是前几天装的etch,装的时候创建了个test用户,被暴力破密码ssh进来的。
然后在/var/tmp/下mkdir 了一个 ".work"目录,里面还有两个目录,一个是‘ ’(空格)
一个‘....‘(4个点),真是有想法阿,呵呵。进去看看。一个是irc的机器人聊天工具,
一个是ssh的攻击工具,看来已经被当肉鸡开始用了。
今天ISP机房的人说,你们的机器昨天非法攻击别人的机器,dns等服务器封了。
呵呵,原来如此。
总结:本次应算失误,由于server是客户装的,没有严格检查,应算工程失误。
经验教训:
一般装服务器,看ssh最好封掉root的登录,创建一个用户给其sudo权限即可,同时
配置ssh只允许该用户登录。当然,该用户的用户的用户名必须不常用,密码也要很复杂
才可以。
我是对于那些所谓的"入侵检测系统"/firewall等东西不感冒的,总觉的代价太大,
如果系统是自己作的,哪来那么多的漏洞可以利用阿。再说了,debian强大的升级功能
就算发现了漏洞也很快就补上了,哪有那么巧你中彩票阿,呵呵。当然,不要的port最
好少开。自己吃不准的程序最好少用后不用,一般私人的程序,开几个port没人知道
怎么攻击的,呵呵,当然,除非有内鬼。故,管理非常重要。
|