※ [本文轉錄自 CSIE_R221 看板 #1Dk5AJYz ]
作者: YCTai ( ) 看板: CSIE_R221
標題: [CNL ] 請更換各組root密碼
時間: Thu Apr 28 01:29:53 2011
Dear all,
近來有發現多組的密碼設定過於簡單導致被駭
為了預防被入侵, 請將密碼設定稍微複雜, 比如英數相間,
如果駭客或木馬病毒利用你們的電腦攻擊別人,
有可能會導致你們的 IP 被鎖。
如果發現你們的電腦無法上網, 而其他組別上網正常的話,
表示你們的電腦有可能已經被鎖住網路了。
*** 再次強調 ***
請勿私自使用他人 IP 導致系上內部網路出錯
請先檢查自己是否被駭,
http://cert.ntu.edu.tw 是否有你們 IP 中毒的名單
目前看到被駭的幾個狀況：
1. syslogd 被砍, 於是你的系統不會將 syslog 寫入 /var/log/syslog
2. 使用 last 發現有莫名其妙的 IP 登入, 比如說從巴西來的 IP
3. ps aux 以後發現一大堆莫名其妙的程式在跑
比如說 /bin/i /bin/f 等奇怪的檔案被植入
還有連 root 都砍不掉該檔案的狀況 (有設定特別保護)
助教建議同學將 /etc /var/www 及一些重要檔案備份後
整台砍掉重練, 避免沒有清乾淨後門程式的狀況
重灌完以後請勿使用太過簡單的密碼, 及開啟 firewall
或者是 port knocking 機制, 讓整體防護更完善