你有多少密码是 123456
root 密码被修改
新装机的 Linux 服务器替换老服务器,并且接通了外网,之前一直以为外网 SSH 的 22 端口是不通的,都是在内网跳板机 SSH 登陆,所以没太注意密码复杂度,装机时 root 密码设为 123456 了。而实际上外网的 22 端口是开放的。第二天发现 SSH 登陆不了,提示密码错误。运维人员进入机房采用单用户模式进入服务器修改密码,才又可以登陆。
拿回密码之后排查被入侵过程如下。
谁成功登陆过?
执行 grep "Failed password for root" /var/log/secure | awk '{print $11}' 查看看自己的服务器有没有人尝试破解
入侵者登陆后做了什么?
入侵者没有过多操作,改了 root 密码就离开了。不太清楚他会以后再来,还是到此为止。搜索 nasapaul,可以看到一些其它服务器被攻击的信息,网上有个罗马尼亚黑客网名叫 paul,高调嚣张,专门入侵服务器,并且不断在内网破解其它服务器的密码,利用服务器算力挖门罗币。结合登陆 IP 有罗马尼亚地址,很可能就是这个人。他在这台服务器上只修改了密码就离开了,没有部署挖矿程序。
结论
替换之前的老服务器外网端口也是开的,但是多年未被登陆,就是因为密码比较复杂。此事的教训就是
root 密码一定要有复杂度,一方面你认为不通外网的服务器未必不通外网。另一方面,和你同一局域网的机器被控制了,入侵者以它为跳板,你也直接面临来自外网的破解。
123456 可能是最弱的密码,六个 1 可能都更好。
互联网 SSH 端口一定关闭。
修改/etc/ssh/sshd_config 里的 Port 值为 22 之外的值,能增加破解难度。
版权声明: 本文为 InfoQ 作者【MySQL从删库到跑路】的原创文章。
原文链接:【http://xie.infoq.cn/article/b9786b89df4e019b373fa3538】。文章转载请联系作者。
评论