本站提供Linux服务器运维,自动化脚本编写等服务,如有需要请联系博主QQ:446199062
凌晨3点多起来上厕所的时候收到腾讯云发来的一条短信,提示服务器被一个香港IP异地登录,睡意一下子给整没了。目前观察入侵者并没有进行破坏,不过也给xiaoz敲了一个警钟,服务器安全不容忽视。
被入侵服务器情况
- 使用的非标准(22)端口
- 使用的复杂密码
- 其它未额外做安全设置
入侵排查
收到短信后,大概15分钟左右登录服务器进行了排查。
执行last命令查看登录记录,发现只有一条自己IP的登录记录,怀疑登录记录已被清空。(已证实)
接着执行who命令,查看只有自身会话在线,对方应该已经下线了。(已证实)
查看/var/log/auth.log日志,发现03:39:51被一个IP:223.19.177.145通过密码登录成功,和腾讯云报告的一致,看来密码被泄露了。(无法确认泄露原因)
执行history查看2023-02-08号的命令执行记录,对方执行了下面4个命令。
问题在于最后2个命令:
- 运行了一个
traffmonetizer/cli的容器 - 清空了登录日志
/var/log/wtmp
搜索得知traffmonetizer是一个挂机赚钱服务,暂未发现入侵者有做其它操作。
问题复盘
从以上的排查,基本可以确定服务器root密码泄露,导致被入侵。目前尚不清楚是什么原因导致的密码泄露,暂时修改了被入侵服务器密码并继续观察。
安全建议
道理虽然大家都懂,但还是要强调下服务器安全措施。
- 建议使用非标准SSH端口
- 禁止
root用户登录 - 使用强密码并定期修改密码
- 可以考虑改用密钥登录并禁止使用密码登录。
