这是一个创建于 1911 天前的主题,其中的信息可能已经有所发展或是发生改变。
是我的一个不大不小的 web 项目。
从 7 月底发现一个奇怪现象,每天早上会收到我的监控邮件,因为有监控如果服务不正常会发邮件提示。但是检查了代码和 log,并没有问题。7 月底到 8 月初出现了一周,之前考虑过是不是服务器的代码被下载了,在别的服务器运行这个可能,但是突然这个现象停了,就没深究,去忙别的工作了。然后昨天开始又来了。今早继续来,我一收到第一封邮件,就马上登录进腾讯云,把服务器直接关了。然后实锤了,之后半小时一直都收到监控邮件。
所以现在有点慌了。
检讨一下,服务器是在腾讯云的,项目是 nodejs 的,之前确实疏于管理,很多 update 没有做。
现在我请教大家,帮我判断我被黑的情况如何。
1、root 权限是否泄露,除了改 root 密码和子账户的密码,还需要做什么?
2、是否被植入了木马等,如何查杀?
3、服务器在初始的时候有做基础的例如改 ssh 端口和加强密码这些工作来加强安全性,到底是怎么黑进来的?是不是用的 centos 的漏洞?
4、因为是 nodejs 的,被黑进去了那源码和数据库密码就泄露了,怎么办?
5、有什么产品能够低成本的防黑?
从 7 月底发现一个奇怪现象,每天早上会收到我的监控邮件,因为有监控如果服务不正常会发邮件提示。但是检查了代码和 log,并没有问题。7 月底到 8 月初出现了一周,之前考虑过是不是服务器的代码被下载了,在别的服务器运行这个可能,但是突然这个现象停了,就没深究,去忙别的工作了。然后昨天开始又来了。今早继续来,我一收到第一封邮件,就马上登录进腾讯云,把服务器直接关了。然后实锤了,之后半小时一直都收到监控邮件。
所以现在有点慌了。
检讨一下,服务器是在腾讯云的,项目是 nodejs 的,之前确实疏于管理,很多 update 没有做。
现在我请教大家,帮我判断我被黑的情况如何。
1、root 权限是否泄露,除了改 root 密码和子账户的密码,还需要做什么?
2、是否被植入了木马等,如何查杀?
3、服务器在初始的时候有做基础的例如改 ssh 端口和加强密码这些工作来加强安全性,到底是怎么黑进来的?是不是用的 centos 的漏洞?
4、因为是 nodejs 的,被黑进去了那源码和数据库密码就泄露了,怎么办?
5、有什么产品能够低成本的防黑?
第 1 条附言 · 2019-08-16 08:40:58 +08:00
监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
 |
1
1981 2019-08-16 07:29:21 +08:00
这个情况日志没问题的话,会不会是你服务器内存满了??
|
 |
3
okwork 2019-08-16 07:43:58 +08:00 via Android
应该不会是代码被盗,可能是邮件延迟。
最简单的测试方式,把你能控制的自己邮件提醒内容改几个字不就看出差别了?或者邮件提醒内容带上 IP 地址。 |
 |
4
Cooky 2019-08-16 07:45:52 +08:00 via Android
端口可以扫,密码可以破,换密钥登录吧
没什么重要的东西的话删了重建最快 只修复那就查查 yum 校验包文件和系统的命令来个全校验 |
 |
5
poplar50 2019-08-16 08:00:59 +08:00 via Android
服务器没有关闭密码登录是吗?
|
 |
6
msg7086 2019-08-16 08:02:50 +08:00  4
怎么办……我从头到尾读了两遍帖子,愣是没读出些有效的信息。
监控邮件是什么东西啊?你放在服务器上的?写在程序里的?第三方的? 收到监控邮件,怎么收到的?邮件报文里时间字段是在关机之后?邮件发件方 IP 地址是哪?邮件发送用的谁的服务? 然后是不是被黑还不知道,那问怎么被黑的我就不知道怎么回答了。 万一源码和数据库泄露了怎么办?你觉得能怎么办,要是真的源码和数据库在别人电脑里了,难道你要顺着网线追过去砍人吗?泄露了就是泄露了,泼出去的水还能收回来的啊。 |
 |
7
opengps 2019-08-16 08:25:19 +08:00 via Android 1
查查邮件源码,发送方 ip 是不是你服务器 ip 即可验证出来
|
 |
8
sarices 2019-08-16 08:36:50 +08:00
从你的描述中没发现到源代码被下载的证据,连被黑的证据也没有
|
 |
9
klausgao OP @msg7086 监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
|
|
10
klausgao OP @opengps 监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
|
 |
12
9151 2019-08-16 08:46:20 +08:00
同行干的?一般人要你的源码也没用吧,还要检查测试是否真的能用。
|
 |
13
mattx 2019-08-16 09:00:16 +08:00 via iPhone
这描述,真可笑
|
 |
14
hackyuan 2019-08-16 09:05:34 +08:00
直接禁用密码登录?
|
 |
15
yechengzhe 2019-08-16 09:27:06 +08:00 via Android
腾讯云的机,最简单的做法就是用腾讯云小程序把这台机器的安全组设置全为拒绝就 OK 了。
|
 |
16
chinesestudio 2019-08-16 09:57:38 +08:00 via Android
服务器被黑 关密码什么事情 换端口 随机密码 fail2ban 等配置好 你黑一个试试。只可能是代码问题 弱口令 系统漏洞 软件配置错误等被黑 。
|
|
17
klausgao OP 感谢大家,正在抓紧重装,做第一步
|
 |
18
limuyan44 2019-08-16 10:14:15 +08:00
我都不知道你说的是什么。。服务器被入侵,源码被下载!读完全文也没找到哪里看出来了
|
Select Language