今天突然接受同事通知我說 主機被當跳板 ,一時間還沒反應過來…是要跳去那裡?後來轉發中華電信的mail如下:
親愛的用戶您好:
本公司接獲申訴說明您的電腦(IP:你的ip, HN:xxxxxxx)
持續對其它用戶或單位發動網路攻擊行為,並已影響對方主機
可能為以下情況所致:
1.電腦中毒
2.遭受駭客入侵成為跳板
3.網域內有不法份子從事駭客行為
為避免不必要之麻煩及危害,敬請盡速予以處理。
同時提醒您注意以下的安全措施來預防電腦受駭:
1.更新作業系統至最新版本
2.安裝防毒軟體與防火牆
3.開啟信件附加檔請注意是否安全
4.不下載或安裝不明網站之程式
5.保持病毒碼到最新版本
…這根本是廢文…資訊不足怎麼查…
有可能你的mail server被當跳板亂發垃圾信(要怎麼查覺 首先你的mail server 會被封鎖然後寄不出去,這時候你連中華電信的這封信都收不到,只會接到客戶打電話來跟你報怨怎麼寄到貴公司的信都被退信了?!那要怎麼查?改天再開一篇)
以下為個人推估被攻擊流程,如有雷同那就是別人抄襲我的…
取得中華電信網段(這個還滿簡單的電信商的網段很好查)
確定作業系統 windwos/linux 攻擊的手法與程式不一樣
開始攻擊 爆力破解 字點檔
https://keybase.pub/horsecock/Net%20Files/Botnet/Scanners/LRAB%20SOURCE/pass_file
(…我設的密碼還真的在裡面,但帳號沒有)
我用的os版本是不允許root登入,那怎麼猜到使用者帳號 簡單,https://www.abuseipdb.com/check/
你的 Hostname 有時候會出賣你。
這邊不教你怎麼攻擊別人的主機 而是教你怎麼去查你的主機是否被攻擊
先來這個網址
http://www.blocklist.de/en/view.html?ip=你的主機ip&cronjob=refreshcache
這邊可以看到最近7天的被封鎖資料 有攻擊的時間點 用什麼服務去攻擊 跟對被攻擊的資料 與狀態
現在你可以確定你的主機帳密被破解了,因為有人用你的主機去爆力破解別人主機;
這邊保留一下在主機端確認的流程(…公佈了下次駭客就真的會完全不留記錄…)
那被當ssh跳板怎辦?
先變更你的密碼,或改成用key檔來登入主機。ufw先鎖 deny -out 22。
然後換掉你們家的mis或是外包商。
話說我又不是mis為啥要叫我查?
後記:後來找到被注入的程式碼…干…給我建空白資料夾害我一直找不到…
今天看ip已經被解封鎖了…可以不用移機了…話說公司mis因此學會了NAT了也…真是可喜可賀…
參考連結:https://www.itread01.com/content/1550510307.html