一个长期没管的centos6机器被入侵了，root账户被修改为firefart

Satoshi · 发表于 2020-5-7 12:36:21

本帖最后由 Satoshi 于 2020-5-7 12:37 编辑

一台CENTOS6的机器，就放了一个站，很久很久没登录，结果最近要连接一下一直连不上，我以为是记错密码了，修改密码时结果发现ROOT账户没了，被修改成了firefart账户，估计入侵很久了，但没影响网站访问，好像就只在网站目录上传了几个文本文件。
我密码设置挺复杂的，SSH端口也改了，装的lnmp.org的一键包和秋水的酸酸一键包，网站是DISCUZ，其他啥都没装，不知道是怎么被入侵的，是CENTOS6的漏洞还是装的程序有后门？MJJ们有遇到过吗

cooe · 发表于 2020-5-7 12:37:52

木有遇过，这么恐怖啊

Pastech · 发表于 2020-5-7 12:40:05

买个便宜的机器当堡垒机只允许服务器从堡垒机访问

pythonworld · 发表于 2020-5-7 12:53:33

pythonworld 发表于 2020-5-7 12:53

可能是mysql弱密码
没有呀，mysql密码也是复杂的随机密码

Satoshi · 发表于 2020-5-7 13:01:14

pythonworld 发表于 2020-5-7 12:53

可能是mysql弱密码
应该是这类情况

端口不是22
很难被攻破

即使22
8位密码
硬破，都是百亿次才能搞定
显然，不可能

llyang · 发表于 2020-5-7 12:53:00

做站没玩过，做蹄子就是一个密钥，风风雨雨七八年，还行

hcyme · 发表于 2020-5-7 13:01:23

llyang 发表于 2020-5-7 13:01

应该是这类情况

端口不是22
mysql也是随机复杂密码

Satoshi · 发表于 2020-5-7 12:53:00

本帖最后由 llyang 于 2020-5-7 13:07 编辑

Satoshi 发表于 2020-5-7 13:03

mysql也是随机复杂密码

自动安装的mysql本身有弱密码，测试。

安装完成要删除测试账户等等！！！！！

应该是这样被注入了

[ol]

DELETE FROM mysql.db WHERE Db='test' OR Db='test\\_%';[/ol]复制代码
用上面的代码，你谷歌就晓得了

要删除一堆

llyang · 发表于 2020-5-7 13:01:30

llyang 发表于 2020-5-7 13:04

自动安装的mysql本身有弱密码，测试。

安装完成要删除测试账户等等！！！！！[ol]

mysql_secure_installation[/ol]复制代码走一下就行了ssh爆破吧

Jitdormicms · 发表于 2020-5-7 13:03:00

micms 发表于 2020-5-7 13:13

ssh爆破吧
不可能，一是我修改了SSH端口，而且我的密码是十几位的字母数字随机组合

		自动登录	找回密码
密码			立即注册