稍稍的记录一次 vps 的事故

善良单纯的小阿板
创建时间: 2017年1月7日 庆丰四年
最后编辑: 2017年1月7日 7 年前
起因

安老板掏钱买了两台 vps,其实计划本来只买一台,因为第一个的国内连接情况不好,我就一直申请取消,最终得到了一个还算 ok 的机房,虽然也免不了晚上抽风。然后安老板发话了,说,第一台就开着吧,留着给我练手。于是我就给他开了账户练手了,双倍的钱花的爽了那么一段时间。

知道昨天下午,他来告诉我说,“于老板,我可能闯了个祸。”

事情

sudo chmod 777 /etc/* ,没错,他执行了这段神奇的代码,原因是...老sudo不方便....

不方便你妹啊!777就方便了?

然后他最先感受到的,不是更方便了,是sudo彻底用不了了.......

首先/etc/sudoers的权限必须是400,其次...还有好多权限也是有要求的。

开始

我本来想的是,先改下sudoers的权限,让他先用。当时在预习高数,就用手机连 ssh,竟然提示密钥错误!我一直在手机存的私钥,随时可以 ssh,但是为什么密钥登陆挂了?而且...root 的密码我好像没设。

回到宿舍之后,到服务商的网站上,看到了一个16位长度的密码,总算是连上 ssh 了。然后我就庆幸,这台没有关密码登陆,关了的后果就有点不堪设想了。

修复文件权限倒是简单 getfacl setfacl 洗剪吹一套解决。

嗯哼?

但是,发现我还是没有办法用 ssh key 登陆....然后我就查了下log,然后....我就发现了巨大的 /var/log/btmp 文件。secure也巨大无比,发现竟然有人在跑 root 密码。

ssh1

说实话,活了这么多年....人畜无害的我还从来没这么切身的体会到被攻击...

再然后,我就方了...我应该怎么办?那个默认的 root 的密码只有16位呀!只有小写字母大写字母数字特殊符号!180年内就能被破解呀,好慌。

lastb命令查看btmp的内容,我只能说..太大了,载入了半分钟。世界各地的兄弟都来凑热闹了么.....

五湖四海

我没有立即关密码登陆,也不能关,因为 key 登陆挂了咯,先采取的是防火墙把这个哥们 ban 了。58.218.204.188 ,扫的最多的,徐州电信,离我很近的咯。

ssh2

其实我一开始没有用星号,后来我发现这哥们还会换 ip......看来是在家里自己扫的...我就换了星号,效果还是十分明显的

ssh3

然后我就去....忙别的了...

今天

为什么不能 key 登陆,让今天预习高数的我寝食难安。public key 的权限设定过好多次了,没有问题。而且错误提示的SSH Authentication Refused: Bad Ownership or Modes for Directory /root 是 root 的权限错误,而不是公钥的。

我把全盘的权限覆盖,也并没有用。

在挣扎了很久之后,我删掉了authorized_keys,再创建一次,竟然.....好了.....

杀了我吧,我真的不知道为什么....权限都是一样的600,own 也是 root,为什么呢?

然后关闭了密码登陆之后,徐州兄弟终于好受了

ssh4

后边

为什么我不关闭 root 的远程登陆?因为我懒.......吃枣药丸.....