可能重复:
我的服务器被黑了应急
我从http://linode.com获得了一个32位的Debian VPS,而且我还没有做任何高级configuration来保护它(端口22;密码启用)。
似乎不知何故有从我的知识产权的ssh扫描,我被标记为这是违反服务条款。 我一直只从我家运行Linux的康卡斯特ISP的SSH。
获得新的vps时,这是一个普遍的事情吗? 有没有任何标准的安全configuration提示? 我很困惑,我的机器如何被指控这个SSH扫描。
就个人而言,这听起来像是你已经妥协了。 我会重新安装操作系统,然后重新configurationSSH:
许多系统妥协是被扫描的结果,并强制弱密码被强制。 不幸的是,这已成为日常互联网生活的一部分,你需要保护你的服务器免受这种攻击。 这是一个很好的入门指南:
这是作为评论freedom_is_chaos的答案,但变得太大了…
@Meder:其他服务,如SSHd本身,保存日志 – 不仅仅是Apache。 尽pipe任何编码良好的漏洞(或者由高质量的现成漏洞利用产生的漏洞)都可能会在其进入之后被覆盖。
对于root或者通过sudo拥有足够权限的帐户,密码很差的select是这里最有可能的攻击媒介,因为攻击者正在build立许多SSH连接(以与感染其他服务器相同的方式尝试传播)。 您需要立即停止虚拟机。 时间越长,问题就越长,可能导致进一步的感染。
如果您希望保留虚拟机上的任何数据,请立即closures该虚拟机 – 不要在第一时间进行备份,因为除非自上次使用Linode的服务以来发生了变化,否则您可以创build一个新的未开发的虚拟机并将旧的驱动器来closures数据。 要小心,不要相信这些数据,特别是可执行的二进制文件和脚本 – 仔细检查你使用的任何东西,以防万一它被修改,以便将来的攻击变得更加容易(你不想意外地把一个后门复制到新的VM中被安装到旧的)。
也给由tasaro链接的页面阅读。 这看起来像是一个很好的总结如何尝试保护一个简单的虚拟机。 如果你不会(因为某些原因不能)使用基于密钥的身份validation,至less使用强密码 – 不要担心它们令人难忘,因为你可以将它们存储在像keepass这样的东西,而不是记住它们(只要确保你把你的keepass数据库保存在一个安全的地方)。 虽然远程攻击可以很容易地通过基于字典的暴力猜测来获得类似“elephant4”的东西,但它不太可能触及“eGz3nk7aVdN7OIChoPy7”之类的东西。 还要确保你对不同的服务使用不同的密码 – 这样一来,如果你以某种方式逃脱了,你只能妥协一个服务,而不是其他许多服务。
最可能的解释是你的服务器已经被入侵。
接下来是什么?
一旦获得全新的映像,请不要忘记通过SSH禁用rootlogin。 这样,你不得不通过用户帐户login,然后使用su提升到root。 不要给任何不需要的普通用户帐户sudo权限。
在SSHconfiguration中使用AllowUsers以将SSH访问限制为需要它的用户也是一个非常好的主意。 如果可能的话,确保这些用户有某种方式的强密码。
为什么从头重新安装?
如果您继续使用相同的系统,则永远无法确定您已经移除了安装攻击者的每一个后门。 如果攻击者利用特权升级来获取root权限 ,那么他/她甚至可以replace系统和/或启动二进制文件。