这是一个创建于 4436 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近半个月被网站折磨的无法入睡,具体情况就是网站被黑,我使用的是linode的VPS.连linode后台密码都会失效,重置密码才能上,后台发TICK又得不到啥有用的回答,在后台重装了CentOS,什么端口密码都修改,也没用。过了两天linode后台密码又失效,网站也打不开。我怕电脑有木马。连电脑都重装了,再重装linode,结果刚才密码又失效了,网站又被黑。我真的有点无法相信,是不是有其他办法修改这个密码?我真的没有任何办法来阻止这个人了。我现在关机等待救援,当然是付费的,请各位大牛见到这个主题后给我帮助。
不知道能留QQ吗:89211717
太着急了,各位见谅
不知道能留QQ吗:89211717
太着急了,各位见谅
 |
1
0racleTink 2013-09-08 13:25:42 +08:00  1
别用密码啊!公钥登录不行?
|
 |
2
xunyu 2013-09-08 13:28:21 +08:00 1
你能定位是通过什么黑进去的不?
|
 |
3
outcast OP 真的不知道,我是一个小白。请问可以加我QQ吗?急疯了已经被
|
 |
4
usbaby 2013-09-08 13:32:59 +08:00
有部分putty客户端是被挂马的
|
 |
5
lichao 2013-09-08 13:34:46 +08:00 via iPhone
可能是你网站有漏洞,导致被入侵
|
|
6
outcast OP 请问可以看看我的网站是不是有漏洞吗?
|
 |
7
alphamm 2013-09-08 13:48:19 +08:00
邮箱的密码、密码提示问题改过吗?
|
 |
8
anheiyouxia 2013-09-08 13:49:27 +08:00
其实这种入侵分析,有日志都可能需要花费不少的时间,没日志的话真的很难说。如同4楼所说的,putty也是有被挂马的可能性的。
如果你VPS所有相关的密码都一样,那把Linode后台密码都改了这个就真没什么了。如果不一样,你看看是不是你的邮箱什么的被入侵了。通过Linode后台是可以重置root密码的,通过后台也可以直接进入到VPS的Shell(改端口设置屏蔽所有IP和端口都没用的)。 如果你要让我猜的话,你Linode后台或者是绑定的邮箱被入侵的可能性最大 |
 |
9
vking 2013-09-08 13:50:24 +08:00 via Android
不是邮箱的问题?
|
 |
10
DreaMQ 2013-09-08 14:43:06 +08:00 via Android
先别用linode,换成其他服务商(当然邮箱、密码都要全新)试试,以确定是不是linode被黑
|
 |
11
manoon 2013-09-08 14:46:13 +08:00
uname:12ccb689549a2702
pwd: port:2212 |
 |
12
maoyipeng 2013-09-08 22:15:46 +08:00
现在咋样了?
|
|
13
manoon 2013-09-08 22:15:51 +08:00
ftpd4t4
ftpc4st |
 |
14
rzer0 2013-09-08 23:17:22 +08:00 1
putty挂马的那个dll注入的方法对于windows xp以下的可用,如果是windows 7或者更高的版本因为加入了dllcache安全保护机制,默认是无法执行这个putty dll注入木马的,我之前做过分析过这个木马。
其次被黑可以找找linode的客服咨询下情况,问问账户登录地址以及做了哪些操作。 其次把网站上的代码全部拉下来,对比下和本地看哪些文件有被改动或者本地不存在而远程存在; 其次把web log拉下来,对比被黑时间段的操作, 看攻击者对你的站点都做了哪些操作。 其次把所有的代码都拉下来,用检测webshell的方式对其进行一次扫描; linode本身操作系统存在问题的可能性比较小,具体情况可按照我上边说的自己查一遍,查不出来再说。 |
 |
15
Nin 2013-09-09 00:14:48 +08:00
VPS不建议采用Root密码登陆。最好用Key。
|
|
16
Nin 2013-09-09 00:15:55 +08:00
不过Linode后台都被改的话,查查自身的系统有没有问题,我的意思是最好换台电脑或者换个地方。
|
 |
17
likuku 2013-09-09 00:26:35 +08:00
ssh对公网开放的,只允许pub_key认证,其它统统拒绝。
|
|
18
likuku 2013-09-09 00:27:29 +08:00
putty 什么的,只从官网下载,并且作md5/sha/gnupg验证。
|
|
19
outcast OP 1
我回顾下这几天的情况,可能因为我是小白,估计这里面的操作或是细节造成被黑。但是我确实想不明白。10多天前先是发现网站被黑,我重装环境后,过不了几天又被黑,这次是网站数据被删除。我再重装环境,把能改的密码能改的端口,全部改掉,过了几天web继续被黑。root密码被改,进linode后台没法进去,重制了密码进去,问客服,有不是本人IP登录进去过。具体做过什么没有日志可以查看,这一次我已经怀疑本机被入侵了。把本人的电脑系统重装后,用的putty也是官网下载的英文版(系统是win7)再次重新配置环境。配好睡觉,第二天10点过,服务器再次被入侵,linode后台密码再次失效。重置密码后才进入后台,我很怀疑这个后台密码失效不是因为密码泄露,v2ex的朋友说可能是linode的安全机制问题。异地登录过多或是暴力破解,后台密码会暂时失效,后台的客服经常答非所问,也没法验证这个说法。我也感觉可能不是密码泄露造成,如果泄露了他完全可以在后台更改我的安全邮箱,因为更改密码是不需要邮箱验证的。
|
 |
20
fanwei 2013-09-09 01:49:18 +08:00
应该是你的网站程序本身有漏洞,只要你网站一上线他就来了。
|
 |
21
infong 2013-09-09 07:45:42 +08:00 via iPhone
1、程序本身有漏洞;
2、Linode 有提供 API 的,看看是不是 API 的 KEY 泄漏了; 3、是不是 term client 有问题。 |
 |
22
shenyuzhi 2013-09-09 08:51:23 +08:00 via Android
不要用root登录,也不要用密码,用key。我的vps就一直被人猜密码,一秒猜两次。
web服务器新建一个普通帐户运行。网站有漏洞不应该导致服务器被黑。 |
 |
23
nonozone 2013-09-09 09:45:08 +08:00
说实话Lindode我也用过好几回,每次都是里面只放了一个没有流量测试用的wp,放在那里半个月左右不管他,linode就提示我磁盘爆满,我ssh已经进不去了,到后台发现上传下载流量非常大,并且磁盘确实满了!以前我也怀疑putty中文版的问题,后来全部英文版,同样出现这个问题。如果是我个人的技术问题,我使用其他的vps从来没出现过类似问题,不管是使用习惯以及机器配置都是一模一样,其他的vps不管是网站还是服务器都没有入侵的迹象。
所以我个人只能怀疑linode目标太大,肯定有人常年扫描。后来我就再也没用过linode了。 |
|
24
rzer0 2013-09-09 10:38:56 +08:00
|
 |
26
Feobe 2013-09-09 12:46:18 +08:00
网站已经这样了,网址就公布下吧。
|
 |
27
mongodb 2013-09-09 12:51:06 +08:00
社工了 亲
|
 |
28
kurtrossel 2013-09-09 16:37:10 +08:00
除了putty有被挂马的可能,winscp某些版本也是带马的
邮箱被爆的可能性也比较大,检查一下邮箱有没有被绑定其他备用邮箱,然后改强密码、绑定手机验证什么的 |
 |
29
coosir 2013-09-09 16:54:40 +08:00
嗯,先增强下注册邮箱的安全性
|
 |
30
ko 2013-09-09 17:11:28 +08:00
中文的putty还是少用,尽量去官方下载原版的!
|
 |
31
lvye 2013-09-09 17:18:04 +08:00
很简单的道理,你的网站已经有后门在了,你重装系统是没用的。
你可以本地装个安全狗扫一下,实在不行,数据备份,把网站重装一下。 |
Select Language