作者 主題: ssh一登入,就會自動發信  (閱讀 2635 次)

0 會員 與 1 訪客 正在閱讀本文。

towns

  • 可愛的小學生
  • *
  • 文章數: 28
    • 檢視個人資料
    • http://hc.twcic.net
ssh一登入,就會自動發信
« 於: 2013-04-25 11:00 »
昨天發現,有一台Linux主機,只要使用ssh登入,就會自動發信,而且信件內容為帳密,看來這台主機已經被入侵或植入木馬了,但towns找不到問題在哪裡?是否有大大有遇過相同的問題,該如何處理呢?
OS:CentOS 5
測試情形
1. 使用SSH登入時,他會紀錄登入者的帳密,並寄送email
2. 只有使用ssh登入時,會發生,如果由本機端登入,不會發信
3. 每一個使用者使用ssh登入都會發生寄信情形

towns

  • 可愛的小學生
  • *
  • 文章數: 28
    • 檢視個人資料
    • http://hc.twcic.net
Re: ssh一登入,就會自動發信
« 回覆 #1 於: 2013-04-25 14:34 »
已處理完成,主因是因為 sshd檔案被換掉了,處理方式就是移除 openssh-server套件,再安裝新版

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
Re: ssh一登入,就會自動發信
« 回覆 #2 於: 2013-04-25 14:43 »
已處理完成,主因是因為 sshd檔案被換掉了,處理方式就是移除 openssh-server套件,再安裝新版
然後開開心心的繼續上線???

towns

  • 可愛的小學生
  • *
  • 文章數: 28
    • 檢視個人資料
    • http://hc.twcic.net
Re: ssh一登入,就會自動發信
« 回覆 #3 於: 2013-04-25 17:17 »
謝謝darkranger的關注,當然不可能改掉後就快樂的上網啊 ^^,做了以下的動作
1. 被拿走的密碼改掉
2. 設定SSH,root帳號無法登入
3. 設定SSH連入範圍
4. 網站設定為不對外開
5. 檢查如何被入侵的(這一點towns正在想呢!)

這台主機被入侵是第二次的事情了
第一次判斷問題是因為Cacti 程式的漏洞,而遭植入惡意程式,在第一次發生時,就已經不設定為不對外開放了,而這一次,目前towns還想不出,是怎麼發生的,因為這台主機並沒有對外開放,只有在內部可以連入,如果要由外部進入,則必需透過VPN。目前這台主機還在觀察中

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
Re: ssh一登入,就會自動發信
« 回覆 #4 於: 2013-04-26 11:28 »
6. 如果需要 Public IP 連入,請試著用 knock 的方式。
http://linux.vbird.org/linux_security/knockd.php

towns

  • 可愛的小學生
  • *
  • 文章數: 28
    • 檢視個人資料
    • http://hc.twcic.net
Re: ssh一登入,就會自動發信
« 回覆 #5 於: 2013-04-26 17:00 »
這個太棒了(動態防火牆),謝謝 jou 大的回應

rainday

  • 鑽研的研究生
  • *****
  • 文章數: 738
  • 性別: 男
  • enhancing and optimizing
    • 檢視個人資料
Re: ssh一登入,就會自動發信
« 回覆 #6 於: 2013-04-26 23:08 »
記得用Rootkit Hunter 之類的掃一下還有沒有什麼漏洞
檢查三個目錄中有沒有新建的異常目錄檔案,通常透過漏洞而入侵的都差不多在這幾個目錄中會看到殘留檔(手腳不夠乾淨的話)
ls -ashltr /root/
ls -ashltr /dev/
ls -ashltr /tmp/

/etc/passwd 等是不是有異常帳號出現
« 上次編輯: 2013-04-26 23:12 由 rainday »
<0  =_=  Don't learn to hack , hack to learn.

towns

  • 可愛的小學生
  • *
  • 文章數: 28
    • 檢視個人資料
    • http://hc.twcic.net
Re: ssh一登入,就會自動發信
« 回覆 #7 於: 2013-04-27 19:20 »
好的,謝謝 rainday 大