所以昨天我发现我的服务器是通过h00lyshit利用。 到目前为止,我删除了所有可能与漏洞关联的文件。 我也删除了~/.ssh/authorized_keys所有ssh密钥。 我将root密码更改为25个随机字符密码,并更改了mysql密码。
另外我认为攻击者来自意大利,因为我只需要从我的国家进入,我阻止了除我自己的国家之外的每个IP范围,这是否有帮助?
你们有什么好build议我应该怎么做? 我打算通过ssh禁用根目录(我应该尽早完成,我知道:()。有没有办法来检查他是否可以再次访问我的服务器?
也没有损失幸运,哦,我运行Debian Lenny与2.6.26内核,如果有人感兴趣。
PS:耶我的第一个问题:D
您应该从已知的良好备份中恢复服务器。 没有真正的方法知道没有其他后门安装在那里?
如果出现已知的妥协,我会一直主张彻底重build。 这是唯一安全的方法。
假设你有备份,而且是最近的,而且它们不仅覆盖服务器上的数据,还有用于取证的材料。
如果你还没有使用诸如Chef或Puppet之类的工具来快速重build到已知状态,那么就开始吧。
一旦机器被重build,您需要考虑攻击媒介以及如何减轻攻击。 你提到你的sshconfiguration – 还有很多其他的 – 对于以Redhat为中心的偏执的方法,请看这里:
http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
对于Debian和类似的方法,请看这里:
Debian dot org / doc / manuals / secured-debian-howto /
祝你好运。
不幸的是,因为他有root权限,所以没有办法真正知道黑客对系统做了什么。 他们可以修改日志来隐藏自己的踪迹和其他任何损害。 格式化并重新安装或从已知的良好备份还原是唯一安全的方法。 祝你好运。
下一次禁用rootlogin,更改ssh端口,并立即得到iptables。
就个人而言,如果我扎根,理想地从备份获取数据。 如果不是从服务器抓取它并启动并且核武器。 ( http://www.dban.org/ )