全球主机交流论坛

标题: 2欧独服被人爆了。。。 [打印本页]
作者: skywing    时间: 2014-9-1 19:00
标题: 2欧独服被人爆了。。。
晕死 我自己不太确定是不是被人爆了 高手来帮忙看下
last命令是不是记录系统安装以后的登陆启动日志? 如果是的话 我的last日志就被人删除过了 只有今天的登陆重启日志 独服已经上线近一个星期了 之前的记录全不见了。。。
我搞不懂的是 那人既然爆了我的机器为什么不连我的密码也修改了 我的系统是ubuntu12.04 不能直接root登陆 日常操作都是一个有sudo权限的帐户完成的 系统也只有这一个帐户 他应该是爆了我这个帐户的密码
我刚才SSH登陆上去 一登就被断开连接 一登就被断开连接  他为什么要这样做 直接改密码不让我登陆就好了嘛 为什么要这么麻烦断我的连接?
作者: 槛外人    时间: 2014-9-1 19:02
本帖最后由 槛外人 于 2014-9-1 19:05 编辑

你既然是密匙登陆即使知道root密码也没啥用吧。
作者: skywing    时间: 2014-9-1 19:03
  1. root@sd-26688:/home/xxx# last
  2. xxx  pts/0        ***.***.***.***    Mon Sep  1 18:53   still logged in   
  3. reboot   system boot  3.2.0-67-generic Mon Sep  1 18:52 - 19:09  (00:17)   
  4. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:49 - down   (00:00)   
  5. reboot   system boot  3.2.0-67-generic Mon Sep  1 18:49 - 18:50  (00:00)   
  6. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:47 - down   (00:00)   
  7. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:46 - 18:47  (00:00)   
  8. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:43 - 18:44  (00:00)   
  9. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:41 - 18:42  (00:00)   
  10. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:41 - 18:41  (00:00)   
  11. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:39 - 18:40  (00:00)   
  12. xxx  pts/1        ***.***.***.***    Mon Sep  1 18:39 - 18:39  (00:00)   

  14. wtmp begins Mon Sep  1 18:39:00 2014
复制代码
作者: skywing    时间: 2014-9-1 19:06
wtmp文件是从今天的18点39才开始记录的 肯定有问题
晕死 之前的两台BUYVM VPS三年了都没给人爆了 这个不到一星期就被人爆了 两天前我还发了个贴说机器好像不正常了 可能早就被人给爆了
作者: orvice    时间: 2014-9-1 19:08
用key登录了就顺便ban掉密码登录呗
作者: skywing    时间: 2014-9-1 19:08
槛外人 发表于 2014-9-1 19:02
你既然是密匙登陆即使知道root密码也没啥用吧。


这个没有设密匙密码 设一个普通帐户登陆  通过sudo完成需要root权限的操作 root不能直接登陆 是空密码 ubuntu初始安装都是这样的设定
作者: skywing    时间: 2014-9-1 19:12
来个高手 我给你root帐户你帮我上去看看能不能找出些蛛丝马迹 既然把日志全删除了 估计也不是什么高级黑客 谢谢了
作者: jiajieit    时间: 2014-9-1 19:17
爆得好,谁叫你不卖呢。
作者: 欧阳逍遥    时间: 2014-9-1 19:18
抓紧备份数据 查后门。 重做系统。是正事。
查出了蛛丝马迹又能怎样?
作者: skywing    时间: 2014-9-1 19:18
jiajieit 发表于 2014-9-1 19:17
爆得好,谁叫你不卖呢。

你这是什么逻辑 我不做黄牛还有错了?
作者: 瞌睡熊    时间: 2014-9-1 19:24
重装吧,找出来也没用~~
作者: skywing    时间: 2014-9-1 19:41
欧阳逍遥 发表于 2014-9-1 19:18
抓紧备份数据 查后门。 重做系统。是正事。
查出了蛛丝马迹又能怎样?

我都不知道他怎么摸进来的 不弄清楚的话 下次还会中招
作者: axaxax    时间: 2014-9-1 22:31
如果密码不强的话 很容易跑字典跑出来 既然都key登录了 就把密码登录ban了把
作者: 醉了    时间: 2014-9-1 22:37
安装fail2ban吧。。。



欢迎光临 全球主机交流论坛 (https://d.168530.xyz/) Powered by Discuz! X3.4