2欧独服被人爆了。。。

skywing · 发表于 2014-9-1 19:00:26

晕死我自己不太确定是不是被人爆了高手来帮忙看下
last命令是不是记录系统安装以后的登陆启动日志？如果是的话我的last日志就被人删除过了只有今天的登陆重启日志独服已经上线近一个星期了之前的记录全不见了。。。
我搞不懂的是那人既然爆了我的机器为什么不连我的密码也修改了我的系统是ubuntu12.04 不能直接root登陆日常操作都是一个有sudo权限的帐户完成的系统也只有这一个帐户他应该是爆了我这个帐户的密码
我刚才SSH登陆上去一登就被断开连接一登就被断开连接他为什么要这样做直接改密码不让我登陆就好了嘛为什么要这么麻烦断我的连接？

槛外人 · 发表于 2014-9-1 19:02:57

本帖最后由槛外人于 2014-9-1 19:05 编辑

你既然是密匙登陆即使知道root密码也没啥用吧。

skywing · 发表于 2014-9-1 19:03:10

root@sd-26688:/home/xxx# last
xxx pts/0 ***.***.***.*** Mon Sep 1 18:53 still logged in
reboot system boot 3.2.0-67-generic Mon Sep 1 18:52 - 19:09 (00:17)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:49 - down (00:00)
reboot system boot 3.2.0-67-generic Mon Sep 1 18:49 - 18:50 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:47 - down (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:46 - 18:47 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:43 - 18:44 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:41 - 18:42 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:41 - 18:41 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:39 - 18:40 (00:00)
xxx pts/1 ***.***.***.*** Mon Sep 1 18:39 - 18:39 (00:00)
wtmp begins Mon Sep 1 18:39:00 2014

复制代码

skywing · 发表于 2014-9-1 19:06:55

wtmp文件是从今天的18点39才开始记录的肯定有问题
晕死之前的两台BUYVM VPS三年了都没给人爆了这个不到一星期就被人爆了两天前我还发了个贴说机器好像不正常了可能早就被人给爆了

orvice · 发表于 2014-9-1 19:08:08

用key登录了就顺便ban掉密码登录呗

skywing · 发表于 2014-9-1 19:08:15

槛外人发表于 2014-9-1 19:02
你既然是密匙登陆即使知道root密码也没啥用吧。

这个没有设密匙密码设一个普通帐户登陆通过sudo完成需要root权限的操作 root不能直接登陆是空密码 ubuntu初始安装都是这样的设定

skywing · 发表于 2014-9-1 19:12:57

来个高手我给你root帐户你帮我上去看看能不能找出些蛛丝马迹既然把日志全删除了估计也不是什么高级黑客谢谢了

jiajieit · 发表于 2014-9-1 19:17:20

爆得好，谁叫你不卖呢。

欧阳逍遥 · 发表于 2014-9-1 19:18:27

抓紧备份数据查后门。重做系统。是正事。
查出了蛛丝马迹又能怎样？

skywing · 发表于 2014-9-1 19:18:58

jiajieit 发表于 2014-9-1 19:17
爆得好，谁叫你不卖呢。

你这是什么逻辑我不做黄牛还有错了？

		自动登录	找回密码
密码			注册

[Windows VPS] 2欧独服被人爆了。。。

浏览过的版块