※ [本文转录自 CSIE_R221 看板 #1Dk5AJYz ]
作者: YCTai ( ) 看板: CSIE_R221
标题: [CNL ] 请更换各组root密码
时间: Thu Apr 28 01:29:53 2011
Dear all,
近来有发现多组的密码设定过于简单导致被骇
为了预防被入侵, 请将密码设定稍微复杂, 比如英数相间,
如果骇客或木马病毒利用你们的电脑攻击别人,
有可能会导致你们的 IP 被锁。
如果发现你们的电脑无法上网, 而其他组别上网正常的话,
表示你们的电脑有可能已经被锁住网络了。
*** 再次强调 ***
请勿私自使用他人 IP 导致系上内部网络出错
请先检查自己是否被骇,
http://cert.ntu.edu.tw 是否有你们 IP 中毒的名单
目前看到被骇的几个状况：
1. syslogd 被砍, 于是你的系统不会将 syslog 写入 /var/log/syslog
2. 使用 last 发现有莫名其妙的 IP 登入, 比如说从巴西来的 IP
3. ps aux 以后发现一大堆莫名其妙的程式在跑
比如说 /bin/i /bin/f 等奇怪的档案被植入
还有连 root 都砍不掉该档案的状况 (有设定特别保护)
助教建议同学将 /etc /var/www 及一些重要档案备份后
整台砍掉重练, 避免没有清干净后门程式的状况
重灌完以后请勿使用太过简单的密码, 及开启 firewall
或者是 port knocking 机制, 让整体防护更完善