论坛: UNIX系统 标题: 悲剧:我维护的一台机器被攻破了……[转载] 复制本贴地址    
作者: TecZm [teczm]    版主   登录
前天被攻破的,昨天花了一整天修复,该死的cracker在里面放了两个病毒,大大增加了我的工作量……

Redhat 8.0,提供ssh, apache + php + mysql, sendmail等服务。

我仔细研究了入侵者的动作,最后找出了他的入侵路线:

1、用猜简单密码的方法进入系统
2、用kernel brk a的漏洞进入root
3、安装自己的sshd,监听在101端口
4、修改netstat, ps,隐藏自己的sshd
5、用一段perl程序过滤所有的log,隐藏自己的入侵痕迹
6、安装一个IRC机器人,登录在undernet.org的几个channel里面
7、安装一个cron进行定期扫描,寻找下一个目标

我们对外提供的服务本身并没有漏洞,但是有个用户账号的密码太简单被猜出来了(该死的mail管理员竟然设置了一个test用户,密码test,而且她设置的所有用户的起始密码就是帐户名)

后来我根据他留下的痕迹进入了他的channel(us.undernet.org/#}),里面有几十个机器人,估计都是被攻击的linux,和入侵者简单对话,然后被迅速地踢了出来。

教训:

1、不要开测试账户,测试完成后及时rmuser
2、缺省的sendmail共用系统账户,这有很大的安全问题,当时图省事没有换用qmail,是个错误
3、少装应用,特别是setuid的应用。这次的cracker对setuid的程序做了很多尝试,虽然最后没有得手(因为我对应用是定期更新的)
4、对kernel的bug也要重视,我早就更新了kernel,但是一直没有reboot(这要怪我的小小虚荣心,机器已经uptime了400多天了,正打算让它破纪录呢

地主 发表时间: 04-08-03 07:21

回复: keycao [keycao]   论坛用户   登录
我一台linux+tomcat的机子,密码算是比较复杂的,
也是被人攻破啦``

现在是不停的有不同的IP连接,对方端口一直是6667,

请问,知道什么问题嘛?



B1层 发表时间: 04-08-04 09:48

论坛: UNIX系统

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号