全球主机交流论坛

标题: 服务器被黑了 [打印本页]

作者: catding 时间: 2016-4-15 10:29
标题: 服务器被黑了
我的服务器再次被黑了。不知道怎么实现的。
服务器上的网站没对外公开，root登陆也禁止的，ssh端口都改了的。
用的Centos系统，哥们登陆SSH后给自己加了个证书登录，怀疑网站内容都被偷了。

怎么破啊。。。

去年哥们已经来过一次了。

求支招。。

作者: lzdszdl 时间: 2016-4-15 10:32
拔电源

作者: ballpen 时间: 2016-4-15 10:33
拔电源

作者: a1328788808 时间: 2016-4-15 10:34
拔电源

作者: 来看签名的 时间: 2016-4-15 10:35
拔电源，剪网线

作者: teddysun 时间: 2016-4-15 10:37
改端口其实并没有什么卵用。除了用密钥登录外，还可以限制固定IP登录。用个固定IP的跳板机登录就好了。

作者: bigexiu 时间: 2016-4-15 10:38
好神奇的样子

作者: catding 时间: 2016-4-15 10:38

来看签名的发表于 2016-4-15 10:35
拔电源，剪网线

求实用技巧啊。。。
现在正郁闷着呢

作者: catding 时间: 2016-4-15 10:42
都是群MJJ的。。。

作者: 来看签名的 时间: 2016-4-15 10:42

catding 发表于 2016-4-15 10:38
求实用技巧啊。。。
现在正郁闷着呢

就几句家里被盗了，我带了钥匙，门窗也都锁了，报案也得让人勘察现场啊，这里能求什么实用技巧

作者: catding 时间: 2016-4-15 10:44

teddysun 发表于 2016-4-15 10:37
改端口其实并没有什么卵用。除了用密钥登录外，还可以限制固定IP登录。用个固定IP的跳板机登录就好了。 ...

是指SSH使用固定ip登陆吗？
这个貌似个方法，谢谢了，回头我试试

作者: 怪人 时间: 2016-4-15 10:46
提示: 作者被禁止或删除内容自动屏蔽

作者: catding 时间: 2016-4-15 10:47

teddysun 发表于 2016-4-15 10:37
改端口其实并没有什么卵用。除了用密钥登录外，还可以限制固定IP登录。用个固定IP的跳板机登录就好了。 ...

另外，他应该不知道我的账号密码啊，
我设置的普通用户登陆，然后su切换root的模式，应该有2个密码，他怎么破的我的2个账号密码呢。

这个是我头疼的

作者: catding 时间: 2016-4-15 11:05

怪人发表于 2016-4-15 10:46
远离织梦

没，用的WHMCS...

作者: cmse 时间: 2016-4-15 11:06
网站内容如果没对外公开，可能是扫描软件扫到的。可能与网站漏洞有关。。

作者: Liu`e 时间: 2016-4-15 11:10
看一下登录日志，
用证书登录，换一个私钥
关闭帐号登录
端口只开放你需要的
如果这样还被盗，只能怀疑你的程序有问题了，

作者: sendsky 时间: 2016-4-15 11:10
提示: 作者被禁止或删除内容自动屏蔽

作者: Kvm 时间: 2016-4-15 11:11
有没update过

glibc屌得不行

作者: catding 时间: 2016-4-15 11:13

Liu`e 发表于 2016-4-15 11:10
看一下登录日志，
用证书登录，换一个私钥
关闭帐号登录

谢谢哈，我再检查下

作者: Jessynt 时间: 2016-4-15 11:42
提示: 作者被禁止或删除内容自动屏蔽

作者: leoynx 时间: 2016-4-15 11:49
1,ssh关闭root帐号登录,普通用户密钥登录,root帐号密码搞个16位随机,凡事用sudo提权.
2,检查启动脚本和profile,还有cron

作者: onlybird 时间: 2016-4-15 11:52
8成是拿了web shell后被提权了....

作者: jakechen 时间: 2016-4-15 13:28
应该把日志贴出来

作者: catding 时间: 2016-4-15 13:30

leoynx 发表于 2016-4-15 11:49
1,ssh关闭root帐号登录,普通用户密钥登录,root帐号密码搞个16位随机,凡事用sudo提权.
2,检查启动脚本和prof ...

都弄了，就差profile这个还没检查

作者: catding 时间: 2016-4-15 13:34

onlybird 发表于 2016-4-15 11:52
8成是拿了web shell后被提权了....

我猜也是，。。

作者: catding 时间: 2016-4-15 13:38

jakechen 发表于 2016-4-15 13:28
应该把日志贴出来

他走时把记录都清空了

作者: ericls 时间: 2016-4-15 13:55
跑没跑 redid?

作者: catding 时间: 2016-4-15 13:56

ericls 发表于 2016-4-15 13:55
跑没跑 redid?

没呢，这个是什么？

作者: ericls 时间: 2016-4-15 13:57
Redis

作者: 秋风下的落叶 时间: 2016-4-15 15:15
大哥你怎么确定你的服务器被人黑了的？

作者: skywing 时间: 2016-4-15 15:33
WHMCS是开心版还是官方的会不会有后门？

作者: holinhot 时间: 2016-4-15 15:51

teddysun 发表于 2016-4-15 10:37
改端口其实并没有什么卵用。除了用密钥登录外，还可以限制固定IP登录。用个固定IP的跳板机登录就好了。 ...

都不用改端口。还是限制22固定ip好

作者: holinhot 时间: 2016-4-15 15:52

catding 发表于 2016-4-15 11:05
没，用的WHMCS...

肯定是nulled版吧

作者: 孤单月色 时间: 2016-4-15 15:54
提示: 作者被禁止或删除内容自动屏蔽

作者: catding 时间: 2016-4-15 16:24

秋风下的落叶发表于 2016-4-15 15:15
大哥你怎么确定你的服务器被人黑了的？

我做了email提醒，今天早晨3点过就收到登陆邮件。他还反复登陆测试了好几次

作者: catding 时间: 2016-4-15 16:25

skywing 发表于 2016-4-15 15:33
WHMCS是开心版还是官方的会不会有后门？

用的正版的。用的6.2
今天正打算升级6.3就出这个事了
怀疑是旁边的论坛程序有漏洞

作者: 香港高防 时间: 2016-4-15 16:57
我带了钥匙，门窗也都锁了，报案也得让人勘察现场啊，这里能求什么实用技巧

作者: teddysun 时间: 2016-4-15 17:01
种种迹象表明，应该是程序漏洞导致的服务器被爆菊了。碰到这样，措施再到位都没用。只能先升级程序后再做打算

作者: 鼎峰珊珊 时间: 2016-4-15 17:07
漏洞有坑

作者: catding 时间: 2016-4-15 17:07

teddysun 发表于 2016-4-15 17:01
种种迹象表明，应该是程序漏洞导致的服务器被爆菊了。碰到这样，措施再到位都没用。只能先升级程序后再做打 ...

whmcs的漏洞应该不可能吧。
论坛程序作者好多年没升级了，怎么破。。
尝试找了几个论坛然后倒入数据，一直没原论坛好用。。。

作者: 秋风下的落叶 时间: 2016-4-15 20:48

catding 发表于 2016-4-15 16:24
我做了email提醒，今天早晨3点过就收到登陆邮件。他还反复登陆测试了好几次 ...

咋做email提醒的，求指点

作者: CCAV记者 时间: 2016-4-15 21:05
提示: 作者被禁止或删除内容自动屏蔽

作者: catding 时间: 2016-4-15 21:12

秋风下的落叶发表于 2016-4-15 20:48
咋做email提醒的，求指点

这里
挺有用
https://linux.cn/article-5334-1.html

作者: xqdoo00o 时间: 2016-4-15 22:58
ping 开启 ssh端口

作者: sunzetu 时间: 2016-4-15 23:00
jj有问题，给我用吧，你用着浪费。

作者: 图王 时间: 2016-4-15 23:20
开心版？

作者: 古雅 时间: 2016-4-16 11:27
就几句家里被盗了，我带了钥匙，门窗也都锁了，报案也得让人勘察现场啊，这里能求什么实用技巧

欢迎光临全球主机交流论坛 (https://4414.19990909.workers.dev/)