记一次实验环境被黑

2019-07-14 0 条评论 580 次阅读 0 人点赞

我遇见黑客了!!! 昨天下午,我的实验环境的centos6被人用弱密码登录了

事情的开始大概是这样的,在要上最后一节课的时候,我发现我远程登录的centos6掉线了,打开虚拟机发现,居然关机了,在我的记忆中我是没有执行关机操作的,再去看我SecureCRT,这个操作并不是用我的电脑操作的,此时我忽然意识到,有人一定是利用了我的弱密码登录了我的系统,然后执行了什么,

此时我重新启动了系统,然而立即他自动又关闭了,可能是改了我的inittab文件,于是再次尝试使用启动系统进入单用户模式,但是貌似还不行,依然在开机后会自动关机,这就有点奇怪了,之后又改了grub的内核启动参数,只留下了内核文件和root路径,这次出现登录界面了,于是登录,输入密码回车后立马又关机了,这就有点无奈了,只能使用光盘启动了,

启动后将根切到我到磁盘,首先查看了我的inittab文件,发现并没有被修改,现在的情况就有点复杂了,他可能在我的系统启动时的任意一个文件中加入关机命令,我总不能一个文件一个文件一行一行的找吧,于是想到了一件事

如果对方是一个经验不是特别足的人,他修改了文件应该想不到去该文件的修改时间,于是用find指定mtime为1天之内的文件,开始查找,好像有点尿,搜出来一堆文件太多了,于是就一个目录一个目录的排除,首先搜了etc目录,没想到,第一次就成功了,成功的发现在/etc/profile.d/目录下有一个a.sh的脚本,这个文件肯定不是我建的,系统也不会用这么水的名字,果断用vi打开这个文件,我靠:
a_sh.png

当时将这个脚本移动到了我的home目录下,然后重启系统,没有任何毛病的进入了系统,本想这下可以了吧,可能是老天保佑吧,原来有怀疑在计划任务动了手脚,导致每次开机后自动关机(其实这个想法也是挺蠢的)又看了一下计划任务,我靠,太损了,居然给我加了一条计划任务20:35的时候执行rm -rf /*,简直了,好歹都是一个班的,虽然可能连名都叫不上来,但这也有点损了吧,仔细想想,无论在做什么事上还是说话上我都应该没有得罪过谁吧,而且我平时都不怎么说话的,

看到这一步,有点小慌,他会不会还做了别的手脚,于是查看了at任务的列表,是空的,又想到了历史命令列表,然后输入了history命令:下面是这家伙执行的命令:
history.png

确实添加了计划任务还有脚本,看来水平也一般嘛,历史记录都没有清理,到这里莫名还有点失望,这么容易就被我找到了,然后又用last查看了一下历史登录列表,现在看不见了,下面的图片是secure日志中的,
last.png

大概就是这一条,ip还是给丫盖上吧,虽然只是内网的,而且现在应该也不用了,登录记录都被找到了,而且登录了两次,可能一直有一个疑问,为什么我的系统会关机呢,这可能还得感谢这位入侵我的同志呢,从之前的last命令来看,他登录了两次,第一次应该是上来执行了那些命令,然后就退出了,过了一会,可能又想到了别的破坏的点子,准备再次登录,结果登录的时候肯定会触发a.sh脚本,然后我的系统就关机了.

到这里,还没有完,这位同志不过登录了我的系统,还登录了离我不远的另外一位同学的系统,可能是从我这里长了经验,那位同学的应该并没有a.sh脚本,只添加了计划任务,晚上快下自习的时候只听他吭哧吭哧的修复系统,然后我还开玩笑说,你的密码不会也是123456吧,不会也被人定了计划任务删根了吧,当时他还不相信呢,折腾半天恢复不了了,用光盘引导后,看了一下根文件系统下,几乎没什么文件了,不过好像root目录还没有删干净,历史记录里还留了那个家伙执行的命令,居然还输入了f**k,

平淡枯燥的培训生活中,我好像还得感谢一下这位英雄,还给我增添了几分色彩,其实还是挺想不通这位仁兄的动机的,为了满足一下自己的虚荣心?秀一下自己的技术?想不通想不通,真的想不通,

最后还是要总结一波,昨天也是属于险中得胜呀,要是没有他的a.sh脚本,可能我开机后不会这么仔细的去检查的,密码要尽量设的复杂一点,其实和妈妈的唠叨是一样的,虽然很重要,但是往往会被忽略,对于这次事件的防护其实有多种,限制失败登录的次数,使用密钥方式登录系统,改默认端口等等等等,当然,安全只是相对的,今天就总结到这里

bighero

这个人太懒什么东西都没留下

文章评论(0)