超兽 大佬有话说 :
服务器被改密码是机房的骚操作还是被黑
机器莫名root密码被改 不是跑的网站不存在网站被黑入侵
密码随机生成的 不存在爆破可能性 服务器运行快1年了 从未有过这个情况
当时我一看SSH密码不对 吓我一跳 以为被黑了 想想又不可能
于是排查起来 发现服务器被修改网卡配置文件 难道被黑了还给我修改配置去?
而不是先挂个挖矿?或者做点其它骚操作?但是排查后没有恶意行为
大概率机房自己骚操作破解密码上去修改了网络配置
但是机房不承认说没操作过 发上来给大家看看
然后机器在以下时间段监控到故障
2021-06-09 16:03:07 地址: 156.253.xxx.xxx 报警
2021-06-09 17:04:00 池地址: 156.253.xxx.xxx 恢复
查.bash_history有非我执行的命令网络配置被改
https://www.hualigs.cn/image/60c1611f33202.jpg
dmesg | grep eth
dmesg | grep em1
dmesg | grep em
ip a
service network restart
ip a
vi /etc/sysconfig/grub
vi /boot/grub/grub.conf
vi /etc/udev/rules.d/70-persistent-net.rules
reboot
ip a
vi /boot/grub/grub.conf
vi /etc/udev/rules.d/70-persistent-net.rules
cd /etc/sysconfig/network-scripts/
ls
mv ifcfg-em1 ifcfg-eth0
mv ifcfg-em2 ifcfg-eth1
vi ifcfg-eth0
vi ifcfg-eth1
service network restart
ip a
vi /boot/grub/grub.conf
reboot
ip a
vi /etc/udev/rules.d/70-persistent-net.rules
service network restart
ip a
ifup
ifup eth3
cd /etc/sysconfig/network-scripts/
vi ifcfg-eth3
ifup eth3
vi ifcfg-eth3
ifup eth3
ip a
下面是登录日志
reboot system boot2.6.32-754.33.1. Thu Jun 10 00:47 – 08:48(08:00)
root tty1 Wed Jun9 16:56 – down (07:49)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:55 – 00:45(07:49)
root tty1 Wed Jun9 16:46 – crash(00:09)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:46 – 00:45(07:59)
root tty1 Wed Jun9 16:40 – down (00:04)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:40 – 16:44(00:04)
root tty1 Wed Jun9 16:33 – down (00:05)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:32 – 16:38(00:06)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:30 – 16:30(00:00)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:28 – 16:30(00:02)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:24 – 16:26(00:01)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:23 – 16:26(00:03)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:19 – 16:26(00:07)
reboot system boot2.6.32-754.33.1. Wed Jun9 16:10 – 16:26(00:15)