记一次不小心服务器被入侵事件

早上起来收到阿里云短信,说被入侵,第一反应密码被破解,因为我的密码为了方便设置得很简单,而且都一样,在其他地方泄露的话,破解服务器登录密码也很简单。

【阿里云】尊敬的用户:云盾安骑士发现您的服务器139.129.xxx.xxx 登录密码已经被黑客破解成功,需要尽快修改密码,请登录云盾-服务器安全(安骑士)控制台,进行查看和处理。

早上上课时用手机修改了下密码,但是还是很多不方便。用last可以看到最近登录记录:

www-data pts/1        109.98.234.136   Tue Dec 27 06:51 - 08:23  (01:32)
www-data pts/1        120.76.96.237    Tue Dec 27 06:31 - 06:31  (00:00)
www-data pts/0        86.124.186.68    Tue Dec 27 04:04 - 05:12  (01:07)
www-data pts/0        123.56.4.238     Tue Dec 27 03:00 - 03:00  (00:00)

排除自己的ip和正常的记录。发现root账户并没有被登录,只有www-data账户泄露。原因是为了方便开发,没有在本地搭建php环境,而是通过sshfs挂载目录到本地,查看二十四小时内修改的文件:

root@localhost:/var/www# find . -mtime 0

通过比较,文件均正常,没有留下后门。查看shell记录,发现文件没有找到,预测文件被删除:

cat /var/www/.bash_history
cat: /var/www/.bash_history: No such file or directory

登录阿里云后台,根据时间段查看cpu和流量,发现在六点到八点这个时间段存在异常:
流量.png

root@localhost:/var/www# du -h -d 1
482M    ./html
482M    .

简单计算下流量,以我一兆的小水管,70分钟,900kbps/s计算,传输461M。7:10时出口流量基本跑满,也就是开始下载我的据。7:00 cpu开始飙升,预测在打包我的数据,期间入网流量一直很高原因未知。
解决:修改/etc/passwd/etc/shadow,禁止登录和取消密码。修改博客密码,数据库密码。
总结:这次泄露主要因为密码设置过于简单,被扫了出来,虽然文件并没有被修改,但是泄露了很多数据,现在还在苦恼中,不知道如何应对。
ip地址查询结果:
109.98.234.136 罗马尼亚 Judetul Mures 索瓦塔
120.76.96.237 浙江省杭州市, 阿里云BGP数据中心
86.124.186.68 罗马尼亚 Judetul Iasi 雅西
123.56.4.238 北京市, 阿里云BGP数据中心