V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
klausgao
V2EX  ›  问与答

紧急求助!服务器被入侵,源码被下载!

  •  
  •   klausgao · 2019-08-16 07:26:00 +08:00 via Android · 3304 次点击
    这是一个创建于 1925 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是我的一个不大不小的 web 项目。
    从 7 月底发现一个奇怪现象,每天早上会收到我的监控邮件,因为有监控如果服务不正常会发邮件提示。但是检查了代码和 log,并没有问题。7 月底到 8 月初出现了一周,之前考虑过是不是服务器的代码被下载了,在别的服务器运行这个可能,但是突然这个现象停了,就没深究,去忙别的工作了。然后昨天开始又来了。今早继续来,我一收到第一封邮件,就马上登录进腾讯云,把服务器直接关了。然后实锤了,之后半小时一直都收到监控邮件。
    所以现在有点慌了。
    检讨一下,服务器是在腾讯云的,项目是 nodejs 的,之前确实疏于管理,很多 update 没有做。
    现在我请教大家,帮我判断我被黑的情况如何。
    1、root 权限是否泄露,除了改 root 密码和子账户的密码,还需要做什么?
    2、是否被植入了木马等,如何查杀?
    3、服务器在初始的时候有做基础的例如改 ssh 端口和加强密码这些工作来加强安全性,到底是怎么黑进来的?是不是用的 centos 的漏洞?
    4、因为是 nodejs 的,被黑进去了那源码和数据库密码就泄露了,怎么办?
    5、有什么产品能够低成本的防黑?
    第 1 条附言  ·  2019-08-16 08:40:58 +08:00
    监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
    20 条回复    2019-08-16 12:35:08 +08:00
    1981
        1
    1981  
       2019-08-16 07:29:21 +08:00
    这个情况日志没问题的话,会不会是你服务器内存满了??
    klausgao
        2
    klausgao  
    OP
       2019-08-16 07:37:38 +08:00 via Android
    @1981 老哥我都把服务器关了,还继续发了半小时邮件啊
    okwork
        3
    okwork  
       2019-08-16 07:43:58 +08:00 via Android
    应该不会是代码被盗,可能是邮件延迟。

    最简单的测试方式,把你能控制的自己邮件提醒内容改几个字不就看出差别了?或者邮件提醒内容带上 IP 地址。
    Cooky
        4
    Cooky  
       2019-08-16 07:45:52 +08:00 via Android
    端口可以扫,密码可以破,换密钥登录吧
    没什么重要的东西的话删了重建最快
    只修复那就查查 yum 校验包文件和系统的命令来个全校验
    poplar50
        5
    poplar50  
       2019-08-16 08:00:59 +08:00 via Android
    服务器没有关闭密码登录是吗?
    msg7086
        6
    msg7086  
       2019-08-16 08:02:50 +08:00   ❤️ 4
    怎么办……我从头到尾读了两遍帖子,愣是没读出些有效的信息。

    监控邮件是什么东西啊?你放在服务器上的?写在程序里的?第三方的?
    收到监控邮件,怎么收到的?邮件报文里时间字段是在关机之后?邮件发件方 IP 地址是哪?邮件发送用的谁的服务?
    然后是不是被黑还不知道,那问怎么被黑的我就不知道怎么回答了。
    万一源码和数据库泄露了怎么办?你觉得能怎么办,要是真的源码和数据库在别人电脑里了,难道你要顺着网线追过去砍人吗?泄露了就是泄露了,泼出去的水还能收回来的啊。
    opengps
        7
    opengps  
       2019-08-16 08:25:19 +08:00 via Android   ❤️ 1
    查查邮件源码,发送方 ip 是不是你服务器 ip 即可验证出来
    sarices
        8
    sarices  
       2019-08-16 08:36:50 +08:00
    从你的描述中没发现到源代码被下载的证据,连被黑的证据也没有
    klausgao
        9
    klausgao  
    OP
       2019-08-16 08:39:18 +08:00 via Android
    @msg7086 监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
    klausgao
        10
    klausgao  
    OP
       2019-08-16 08:39:32 +08:00 via Android
    @opengps 监控邮件是我写的代码,用的 nodejs 的模块来发的邮件,这倒是提醒了我查查 IP 是哪里的。
    klausgao
        11
    klausgao  
    OP
       2019-08-16 08:40:41 +08:00 via Android
    @sarices 发监控邮件是我的代码发的。我关了服务器还在继续发,难不成还是乔碧萝发的?
    9151
        12
    9151  
       2019-08-16 08:46:20 +08:00
    同行干的?一般人要你的源码也没用吧,还要检查测试是否真的能用。
    mattx
        13
    mattx  
       2019-08-16 09:00:16 +08:00 via iPhone
    这描述,真可笑
    hackyuan
        14
    hackyuan  
       2019-08-16 09:05:34 +08:00
    直接禁用密码登录?
    yechengzhe
        15
    yechengzhe  
       2019-08-16 09:27:06 +08:00 via Android
    腾讯云的机,最简单的做法就是用腾讯云小程序把这台机器的安全组设置全为拒绝就 OK 了。
    chinesestudio
        16
    chinesestudio  
       2019-08-16 09:57:38 +08:00 via Android
    服务器被黑 关密码什么事情 换端口 随机密码 fail2ban 等配置好 你黑一个试试。只可能是代码问题 弱口令 系统漏洞 软件配置错误等被黑 。
    klausgao
        17
    klausgao  
    OP
       2019-08-16 10:06:47 +08:00 via Android
    感谢大家,正在抓紧重装,做第一步
    limuyan44
        18
    limuyan44  
       2019-08-16 10:14:15 +08:00
    我都不知道你说的是什么。。服务器被入侵,源码被下载!读完全文也没找到哪里看出来了
    klausgao
        19
    klausgao  
    OP
       2019-08-16 10:36:21 +08:00 via Android
    @limuyan44 程序里有监控发送邮件的,服务器都关了还在发邮件啊。。。
    msg7086
        20
    msg7086  
       2019-08-16 12:35:08 +08:00
    @klausgao 如果考虑到描述问题要精确这个要求的话,
    你只观察到服务器关了以后还能收到邮件,
    而没有观察到服务器关了以后还在发邮件。
    而发邮件和收邮件之间并不是严格等价的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2528 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 15:27 · PVG 23:27 · LAX 07:27 · JFK 10:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.