今天登陆一个服务器,上去安装些软件,运行ps查看进程,天啦,好多scan-ssh进程.这是个才上线的机器,什么也没装,看来中招了.啥原因?设置了简单密码没更改.

我们来看看他都干了些什么:

cd /var/tmp      //传文件到这个目录,一共2个文件a.jpg及z,jpg,挺狡猾的,这样命名文件
  ls
  ls
  tar xvfz a.jpg   //解压文件,然后运行程序start
  cd a
  ./start
  cd ..
  ls
  ls
  tar xvfz z.jpg  //再解压另外一个文件
  cd z
  screen
  clear
   ll
   cd /
   ll
   cd /usr/
   ls
   exit                //溜之大吉

仔细看了进程,发现除了scan-ssh进程外,还有psscan,sh等未知进程,不管三七二十一,杀了这些进程,然后改系统密码,再查看文件/etc/passwd,看有没有被创建新用户.检查运行级别所在的目录,看是否有异常的启动进程被创建;再看/etc/rc.local等.最后删除目录/var/tmp目录里所有文件及目录。


重启系统，再多查几次进程。还好，没有发现别的被破坏的迹象。一般情况，对于有业务的系统，最好备份数据，重新安装系统。

这又是一例设置简单密码被黑的实例，大家引以为鉴。

安全第一啊,

linux最怕的就是ROOT的密码过于简单。。。

我在以前的公司遇到这位的一位客户，他的密码是无法破解的。如果真的要破哪时间我可不会算。他的密码组合如下：

26个字母+10位阿拉伯数+键盘上数字键上的符号

每个地方都是乱来没有规则，大小写都有。
我问过他，这么样的密码记得住吗？他说也不记住。。密码都是保存下来要用再COPY。。

这位大哥，可真有才呀！
呵呵