今天突然接受同事通知我說 主機被當跳板 ,一時間還沒反應過來…是要跳去那裡?後來轉發中華電信的mail如下:
親愛的用戶您好:
本公司接獲申訴說明您的電腦(IP:你的ip, HN:xxxxxxx)
持續對其它用戶或單位發動網路攻擊行為,並已影響對方主機
可能為以下情況所致:
1.電腦中毒
2.遭受駭客入侵成為跳板
3.網域內有不法份子從事駭客行為
為避免不必要之麻煩及危害,敬請盡速予以處理。
同時提醒您注意以下的安全措施來預防電腦受駭:
1.更新作業系統至最新版本
2.安裝防毒軟體與防火牆
3.開啟信件附加檔請注意是否安全
4.不下載或安裝不明網站之程式
5.保持病毒碼到最新版本
…這根本是廢文…資訊不足怎麼查…
有可能你的mail server被當跳板亂發垃圾信(要怎麼查覺 首先你的mail server 會被封鎖然後寄不出去,這時候你連中華電信的這封信都收不到,只會接到客戶打電話來跟你報怨怎麼寄到貴公司的信都被退信了?!那要怎麼查?改天再開一篇)
以下為個人推估被攻擊流程,如有雷同那就是別人抄襲我的…
取得中華電信網段(這個還滿簡單的電信商的網段很好查)
確定作業系統 windwos/linux 攻擊的手法與程式不一樣
開始攻擊 爆力破解 字點檔
https://keybase.pub/horsecock/Net%20Files/Botnet/Scanners/LRAB%20SOURCE/pass_file
(…我設的密碼還真的在裡面,但帳號沒有)
我用的os版本是不允許root登入,那怎麼猜到使用者帳號 簡單,https://www.abuseipdb.com/check/
你的 Hostname 有時候會出賣你。
這邊不教你怎麼攻擊別人的主機 而是教你怎麼去查你的主機是否被攻擊
先來這個網址
http://www.blocklist.de/en/view.html?ip=你的主機ip&cronjob=refreshcache
這邊可以看到最近7天的被封鎖資料 有攻擊的時間點 用什麼服務去攻擊 跟對被攻擊的資料 與狀態
現在你可以確定你的主機帳密被破解了,因為有人用你的主機去爆力破解別人主機;
這邊保留一下在主機端確認的流程(…公佈了下次駭客就真的會完全不留記錄…)
香積麵 藥膳 風味 84gx5包 素泡麵 純素 素食 蔬食 慈濟 靜思 
水壺背袋 水壺網袋 水瓶袋 多色可選 戶外郊遊 登山野餐 可放手機 水壺背帶 
手指伸縮狼爪 伸縮爪 機械爪 狼爪 伸縮爪子 
Xilla 露營 戶外 大力夾雲台手機支架 拓展支架 球型雲台夾 手機架 那被當ssh跳板怎辦?
先變更你的密碼,或改成用key檔來登入主機。ufw先鎖 deny -out 22。
然後換掉你們家的mis或是外包商。
話說我又不是mis為啥要叫我查?
後記:後來找到被注入的程式碼…干…給我建空白資料夾害我一直找不到…
今天看ip已經被解封鎖了…可以不用移機了…話說公司mis因此學會了NAT了也…真是可喜可賀…
參考連結:https://www.itread01.com/content/1550510307.html