2005-11-21

被駭客入侵

一台機器暴露網路上,只要沒有基本的防火牆保護,或是防護不夠徹底,莫名其妙就會被人家入侵。前兩天我就被入侵了,受害的並不是電腦主機,而是我拿來改機的 Asus WL-500g 頻寬分享器。為了使用上方面,我在上面的防火牆上開了幾個洞,像是 Web、SSH,讓我能夠從外面連進去。之前遇到一點問題,希望請位高手幫我解決,因此我改了 SSH admin 的密碼讓他可以自己連進來幫我解決,改的密碼很白目,就是 admin123。

隔天,那位高手有連進來過,不過似乎無功而返,並沒有幫到我的忙。但當再過一天我要進去的時候,突然發現我管理者的密碼怎麼敲都不對?!還好我開過其他普通使用者帳號,進去一看,哇!我的管理者密碼在當天凌晨五點時被改了,由於我用的使用者帳號權限不足,沒辦法得到進一步的資訊,只能確定的是的確有駭客連了進去,而且把我的 /etc/passwd 給備份又換新的,看到這裡,我已經火冒三丈了,誰那麼無聊啊!它只是台頻寬分享器耶~

還好,那個豬頭駭客不知道他做的那件事不會被 Update 到 Flash 裡面,所以只要我機器重開一切就回復到初始值,你留什麼後門、做什麼變動都會消失。不過對我來說,當時入侵的紀錄檔也會因為重開而消失殆盡,我也沒辦法掌握到實際他入侵的方式和時間。

回顧會被入侵的原因,我不相信是因為對方破解了 SSH 攔截到我的密碼,或者是使用什麼系統漏洞,應該是這個死傢伙用一些 Port Scanning 的程式,發現了我的 SSH 可以登入,接下來用傳統的一些帳號和簡單的密碼開始 try,而我那個白目的帳號密碼就被猜到了,人家登入成功,一定先偷或改你的密碼檔,以便接下來的「利用」。

這個教訓告訴我們,千萬不要用任何白目的密碼,即使是測試或只用一下,都可能被網路上眾多的掃瞄程式給盯上。沒事翻一下 Syslog,每天在搞 Port Scanning 的人還真不少,看來可以想點辦法來整這些傢伙,讓他們知道沒事玩這個的下場。哼!

回應: 2