我想听听真实的故事,你的Linux机箱/服务器是如何被黑客入侵的,以及你不会再陷入同一个漏洞。
大约两年前,我的一个位于同一地点的networking服务器被黑了。 我追踪了我运行的PHP脚本中的漏洞,PHPBB的旧版本。 黑客基本上使用了一个洞来在我的服务器上放置一个脚本并执行它,这使得他可以完全访问服务器。
幸运的是,他没有造成任何损失,他只是安装了一个新的网站从我的箱子送达。
有一天,我正在浏览日志,因为我看到了我的带宽使用量飞涨,我发现他已经在我的服务器上安装了另一个网站的欺骗副本。 从本质上讲,这是一个容易拼错的手表网上商店,我相信他是卖手表,收钱,显然从来没有送任何东西。
在我发现这些之后,我做了他所做的一切 – 日志,脚本,整个网站,并将其存档,并将其发送给我的托pipe服务提供商。
我清理了他的轨道,并开始保护我的服务器。
因此,我学到了很多关于Linux安全的知识,并做了以下几件事情:
因此,我从来没有被黑客入侵,而且每当有人尝试,我都会被警告。
如果您的服务器是标准的networking/电子邮件服务器,那么您的服务器可以被黑客入侵的一些最简单的方法是通过脚本漏洞。 如果您正在运行电子邮件服务器以确保您不是任何types的开放式中继,那么您还应该采取额外步骤,垃圾邮件发送者将会find您,并且突然将所有来自您的服务器的电子邮件都列入黑名单。
几年前,我创build了一个名字由两个符号组成的用户。 我没有想到,虽然那个经验丰富的黑客,这个帐户是可以使用他的login名作为密码。 当然,这台机器在一个星期内被黑了,当我问那个人,他在想什么,他告诉我,他不知道有人可以检查服务器上每个可能的用户名,他肯定没有人能得到用户的名单,所以他认为他是足够安全的。
黑客安装了某种后门,可能使用这台机器发送垃圾邮件。 幸运的是,它不是一个如此重要的服务器,所以我们只是重新安装操作系统。
托pipe解决scheme(不支持的专用服务器)很便宜,听起来很酷,我不知道自己在做什么,没有保持系统最新,我可能已经做了一些不好的iptables / ipchainsconfiguration。 有一天,当我在西欧背包旅行时,我发现了这个地方,那里什么都没有。
我的解决scheme是放弃一切,相信别人,直到我获得了更多的服务器pipe理经验。 那是大约7年前,我仍然相信另一个人!
大约5年前,我在我们大学担任系统pipe理员,我们的工作站运行了过时的suse版本(这不是我的错!)已经被黑客入侵了,也是用在matrix中的ssh漏洞。
因此,我们的老板撤销了通往网关的路线,以“屏蔽”我们的工作站,因为他们无法连接到外部世界。 在两个networking中只有一台服务器,并且从外部用作login服务器。
多年前,我对客户系统负有一定的责任。 系统没有被修补,它不知怎的被从系统列表中删除,以保持。
绑定中的安全漏洞允许某人进入系统并获得root权限。 他们使用该系统发送垃圾邮件,并设置了一个Web服务器。 当绑定被安装在系统上时,它实际上并没有被用于任何事情
入侵的结果
去年12月,我的主要Linux服务器通过selinux的工具setroubleshooter得到了很多的抱怨。 这两个类别是
看看我的HTTP访问日志,我看到了类似的行
74.247.251.227 - - [05/Dec/2008:04:32:11 -0600] "POST /wordtrans/wordtrans.php HTTP/1.1" 200 1348 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
在HTTP错误日志中,我也看到了投诉。 然后,我用wordtrans自己比较一个真正的使用与我在我的日志中有什么; 我把wordtrans作为一个我并不真正需要的玩具来安装。 wordtrans的真正使用在一些POST上有许多GET。 攻击只有POST。
我谷歌search“HTTP攻击wordtrans”,发现我安装的版本是可攻击的,所以我立即卸载wordtrans-web软件包。
如果我没有运行selinux,攻击肯定会成功,我不会知道。
这是另一个教训,不运行任何服务(这是暴露于公共互联网),你并不真正需要。 安装的每一个服务,尽pipe很小,包括PHP包,网络服务等,是一个潜在的攻击媒介。 而且,我决定在几个月前安装selinux就是一个不错的select。
几年前,我们在大学校园(连接到大学networking)上build立了一个系统。 它植根于大约2天。 由于我们可以轻松地replace它,所以我们只是重写驱动器,然后在重新连接到校园networking之前在系统上运行Nmap。