Re: [問題] 被駭了~~莫名出現新的使用者
※ 引述《idcomputer (順)》之銘言:
: 最近LINUX FC6的主機裡面莫名出現新的使用者
: 在HOME下面也出現了該帳號的資料夾
: 請問改ROOT密碼就OK了嗎
: 還是是從其他地方的漏洞進來的?!!?
: ********************
: ********************
: Dec 27 00:32:47 www sshd[8390]:
: Did not receive identification string from 60.49.12.1
: 好像有個不知名的IP在入侵我的主機
:
: Dec 27 00:37:26 www sshd[8495]:
: pam_unix(sshd:auth): authentication failure;
: logname= uid=0 euid=0 tty=ssh ruser= rhost=60.49.12.1 user=root
:
: Dec 27 00:37:28 www sshd[8495]:
: Failed password for root from 60.49.12.1 port 44630 ssh2
: 這段是表示說它密碼猜測錯誤嗎?!
:
: Dec 27 00:37:29 www sshd[8496]:
: Received disconnect from 60.49.12.1: 11: Bye Bye
:
: Dec 27 00:37:34 www sshd[8497]:
: pam_unix(sshd:auth): authentication failure;
: logname= uid=0 euid=0 tty=ssh ruser= rhost=60.49.12.1 user=root
: 這邊是不是表它它已經猜中密碼,取得ROOT的權限了?!
沒有取得權限
authentication failure 這裡寫的很清楚
:
記得利用 hosts.allow 跟 hosts.deny 來限制 sshd 可以連線的 IP 範圍
或者是利用 iptables,FreeBSD 請利用 pf ipfw 來做限制
網路上很多軟體有對 sshd 加強防護,自動 ban ip 之類的
我推薦 DenyHosts 軟體,或者是 sshit 軟體
我剛好寫了 DenyHosts 軟體教學,可以參考底下網址
http://blog.wu-boy.com/2008/12/26/663/
--
Appleboy Blog: http://blog.Wu-Boy.com
Appleboy Life: http://life.wu-boy.com
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.123.107.20
討論串 (同標題文章)