4月初收到Amazon大量邮件提醒我的主机对外进行端口扫描。
细查发现主机上启动了大量进程对外尝试ssh连接——被黑了……
真是一脸黑线啊,还是那句话,That’s why I pay so much to my server administrator.
Google了下症状,中了pscan2了。
去查看/home目录,发现有个phpmyadmin用户……!!!
看.bash_history看到/dev/shm下放了一个文件名是空格的文件夹,里面跑着进程。
杀进程,删文件。
教训是
- 如果你装的什么应用程序为你创建了新用户,把它的shell置成/bin/false比较安全。
- 密码安全要当心,千万别觉得自己的密码不容易记住就是好密码。使用密码生成、管理工具比较安全。
- 即便你的主机没什么有价值的内容,也有被当作肉鸡的价值,不要侥幸。
- 禁掉ssh交互式登录吧。这样至少hacker没有直接重试ssh 服务的机会。
教训很初级,随意看看。
Leave a Reply
You must be logged in to post a comment.