关于一台红旗linux上的应用被黑的处理过程
来源:互联网 发布:性教育教材 知乎 编辑:程序博客网 时间:2024/05/22 03:52
我们这个应用是装在一台红旗的Linux上,机器是托管的突然有一天用户打电话来说无法ssh到该机器,由于是hp proliant 20c刀片,所以费了好大劲才找个接口转换器连接到console。
现象1、root无法登陆,明明是正确的密码,为什么登陆不进去呢????疑惑ing
2、又重新要了个普通用户,恩,这下可以进去了,于是想再试试root,确认究竟是不是连错了机器,发现还是不对,于是exit用户,然后在别的几个刀片上试了一试,感觉就应该是这台机器,于是又重新连接到这台刀片,这个过程大概有10分钟,奇怪的事情发生了,现在提示密码错误,严重质疑该机器已经被肉鸡了;
3、立马通知使用人,使用人确定了这台机器名就是他们的服务器,看来我连得没错,又说应用可以暂停,进单用户模式修改root口令,于是重新启动,进入单用户模式,进入红旗单用户模式步骤如下:
1、硬重启
2、启动时有一个等待选择的界面,回车进去,对着默认的启动选项按“e”进入编辑模式
3、选择带kernel的那项,按“e”进入编辑模式
4、在‘ro’字母前面加“single ”(后面有个空格)在最后面的‘/’后面加个 空格+s
5、按“b”启动即可
6、命令行状态下输入passwd root ,然后reboot即可。
也可以
chmod 600 /etc/shadow 或者 chmod u+w /etc/shadow
vi /etc/shadow
把第一行root后面两个冒号中间的加密内容全部清空即可,即只剩下两个冒号挨着
然后
chmod 400 /etc/shadow 或者 chmod u-w /etc/shadow
reboot
第6步里面的过程都试过了,但是用“passwd root”的时候提示一个错误“unknown user name ‘root’”,修改 /etc/shadow文件以后重启仍然提示密码错误,用重新进单用户模式修改普通用户密码,结果还是一样,此时自尊受到严重挑战,无奈拨打红旗克服800-810-8362,克服让我进单用户模式检查passwd文件是否有问题,不查不知道,一查吓一跳,这个文件里面的全部内容已经丢失,里面被改写成了“1234”!!!!!!当时可以基本肯定有人控制了这台机器。顾不得多想,先手动修改/etc/passwd文件,这个可以参照其他相同品牌和型号的linux系统,当然我这是红旗dc5.0,把root用户和那个需要ssh的用户手工添加进去。重启,这样总算可以执行“passwd root”和“passwd ***”了。
后来我发现有一个“passwd-”的文件,后来就很怀疑是不是用来备份passwd的,网上一搜果然如此,有个大哥如此解释“Its for backup. When you delete users or groups, the group and passwd files and their shadow files will be backed up as xxxx-.”,所以把内容copy过来就行了。但是有些用户就需要重新设置密码了,比如我原来有个自己添加的用户user1,现在就需要重新设定一下user1的密码才能让这个user1用户生效,否则user1就无法使用无法登陆。
在此之前还出现一个问题,毕竟给被人使用,就得把ssh给远程打开,但是发现一个问题执行“service sshd start”的时候报错“Privilege separation user sshd does not exist ”,现在想来应该还是passwd的问题,但当时的解决办法就是
修改/etc/ssh/sshd_config文件
将其中 UsePrivilegeSeparation yes修改为
UsePrivilegeSeparation no
虽然能解决问题,但是降低了ssh的安全级别。
最后还好,终于把用户的需求满足了,我仔细查看了日志,发现2009-7-5到2009-7-16日的日志全部消失,现在已经可以肯定这台机器被人搞了。但是具体的漏洞出在哪里还在研究。不管怎么样,让用户们先备份一下数据,系统还得再重新做一下。
在这里感谢那些帮助过我的同事以及红旗克服的工作人员。同时鄙视一下黑我机器那哥们,太不地道!有本事做点好事啊!那么多需要你出力的地方,你却只跑来黑自己人的机器,太损!
- 关于一台红旗linux上的应用被黑的处理过程
- 关于如何在访问一台服务器上数据库的数据(在hibernate上的应用)
- [链接] Raid 技术学习, 红旗linux上的软raid
- 红旗嵌入式Linux在海尔的成功应用
- 如何从一台远程Linux主机备份另一台主机上的数据库
- 有感“红旗Linux”的有可能倒掉
- 用Xmanager连接红旗linux的远程桌面
- 用Xmanager连接红旗linux的远程桌面
- vmware虚拟机上安装红旗LINUX时硬盘分区出现错误的解决办法(转载)
- 在Sun VirtualBox 上安装红旗linux 想获取主机共享的文件
- 红旗linux启动报Kernel panic - not syncing Attempted to kill init的处理
- 2个.net应用部署在一台windows 2003 server服务器上的SessionState配置
- 关于在一台主机上安装2个不同版本的Oracle服务端
- 一台电脑上的两台linux使用VMnet8模式实现互通(静态ip地址)
- 一台电脑上datagurad搭建过程
- Linux finger --查询一台主机上的登陆账号的信息
- 一台linux机器配置多个物理网卡,导致的上不了网的问题
- 关于一台电脑控制多台手机技术分享被恶意转载的声明
- 数/模和模/数转换
- (二)字符串常见操作
- 缓存管理
- java日期计算(Calendar类)
- Tomcat启动时出现java.lang.IllegalArgumentException: Document base D:\apache-tomcat-6.0.20\webapps\XXX doe
- 关于一台红旗linux上的应用被黑的处理过程
- 教程:通过NSTask用Cocoa执行perl脚本
- Learn Python The Hard Way学习(6) - 字符串和文本
- Python open读写文件实现脚本
- 关于ibm x3650 安装windows2000 server的经验
- Linux下的split 命令(将一个大文件根据行数平均分成若干个小文件)
- proliant安装windows2003x64蓝屏问题
- Silverlight 动态添加image和border
- Setup.tcl