順 wrote:
> ※ 引述《appleboy46 (小惡魔)》之銘言:
> : ※ 引述《idcomputer (順)》之銘言:
> : : 最近LINUX FC6的主機裡面莫名出現新的使用者
> : : 在HOME下面也出現了該帳號的資料夾
> : : 請問改ROOT密碼就OK了嗎
> : : 還是是從其他地方的漏洞進來的?!!?
> : : ********************
> : : ********************
> : : Dec 27 00:32:47 www sshd[8390]:
> : : Did not receive identification string from 60.49.12.1
> : : 好像有個不知名的IP在入侵我的主機
> : : Dec 27 00:37:26 www sshd[8495]:
> : : pam_unix(sshd:auth): authentication failure;
> : : logname= uid=0 euid=0 tty=ssh ruser= rhost=60.49.12.1 user=root
> : : Dec 27 00:37:28 www sshd[8495]:
> : : Failed password for root from 60.49.12.1 port 44630 ssh2
> : : 這段是表示說它密碼猜測錯誤嗎?!
> : : Dec 27 00:37:29 www sshd[8496]:
> : : Received disconnect from 60.49.12.1: 11: Bye Bye
> : : Dec 27 00:37:34 www sshd[8497]:
> : : pam_unix(sshd:auth): authentication failure;
> : : logname= uid=0 euid=0 tty=ssh ruser= rhost=60.49.12.1 user=root
> : : 這邊是不是表它它已經猜中密碼,取得ROOT的權限了?!
> : 沒有取得權限
> : authentication failure 這裡寫的很清楚
> : 記得利用 hosts.allow 跟 hosts.deny 來限制 sshd 可以連線的 IP 範圍
> : 或者是利用 iptables,FreeBSD 請利用 pf ipfw 來做限制
> : 網路上很多軟體有對 sshd 加強防護,自動 ban ip 之類的
> : 我推薦 DenyHosts 軟體,或者是 sshit 軟體
> : 我剛好寫了 DenyHosts 軟體教學,可以參考底下網址
> : http://blog.wu-boy.com/2008/12/26/663/
> 不好意思占用版面請問一下
> 為什麼它可以在我的主機裡面新增使用者呢?!?!
> 感覺很可怕ORZ
> 不知道哪時候整個主機就掛了ORZ
多出來的使用者和你上面提到的 failure 應該是倆件事. 如果你能確定
那個多出來的使用者是天上掉下來的, 我會建議你把 Linux 重裝. 被
hack 的 system 會有很多地方被改或程式被換掉, 一個一個的找太費時了.
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 4 之 6 篇):