服务器被改密码是机房的骚操作还是被黑

超兽

杜甫 不是云  香港的机房
机器莫名root密码被改 不是跑的网站  不存在网站被黑入侵
密码随机生成的 不存在爆破可能性 服务器运行快1年了 从未有过这个情况
当时我一看SSH密码不对 吓我一跳 以为被黑了 想想又不可能
于是排查起来 发现服务器被修改网卡配置文件 难道被黑了还给我修改配置去？
而不是先挂个挖矿？或者做点其它骚操作？但是排查后没有恶意行为
大概率机房自己骚操作破解密码上去修改了网络配置
但是机房不承认说没操作过 发上来给大家看看
然后机器在以下时间段监控到故障
2021-06-09 16:03:07        地址: 156.253.xxx.xxx        报警
2021-06-09 17:04:00        池地址: 156.253.xxx.xxx        恢复

查.bash_history有非我执行的命令  网络配置被改

1. dmesg | grep eth
   
2. dmesg | grep em1
   
3. dmesg | grep em
   
4. ip a
   
5. service network restart
   
6. ip a
   
7. vi /etc/sysconfig/grub
   
8. vi /boot/grub/grub.conf
   
9. vi /etc/udev/rules.d/70-persistent-net.rules
   
10. reboot
    
11. ip a
    
12. vi /boot/grub/grub.conf
    
13. vi /etc/udev/rules.d/70-persistent-net.rules
    
14. cd /etc/sysconfig/network-scripts/
    
15. ls
    
16. mv ifcfg-em1 ifcfg-eth0
    
17. mv ifcfg-em2 ifcfg-eth1
    
18. vi ifcfg-eth0
    
19. vi ifcfg-eth1
    
20. service network restart
    
21. ip a
    
22. vi /boot/grub/grub.conf
    
23. reboot
    
24. ip a
    
25. vi /etc/udev/rules.d/70-persistent-net.rules
    
26. service network restart
    
27. ip a
    
28. ifup
    
29. ifup eth3
    
30. cd /etc/sysconfig/network-scripts/
    
31. vi ifcfg-eth3
    
32. ifup eth3
    
33. vi ifcfg-eth3
    
34. ifup eth3
    
35. ip a

复制代码

因为文件是这个时间被改了 提取了当天的登录日志
下面是登录日志

1. 
   
2. reboot   system boot  2.6.32-754.33.1. Thu Jun 10 00:47 - 08:48  (08:00)    自己操作
   
3. root     tty1                          Wed Jun  9 16:56 - down   (07:49)   
   
4. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:55 - 00:45  (07:49)   
   
5. root     tty1                          Wed Jun  9 16:46 - crash  (00:09)   
   
6. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:46 - 00:45  (07:59)   
   
7. root     tty1                          Wed Jun  9 16:40 - down   (00:04)   
   
8. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:40 - 16:44  (00:04)   
   
9. root     tty1                          Wed Jun  9 16:33 - down   (00:05)   
   
10. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:32 - 16:38  (00:06)   
    
11. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:30 - 16:30  (00:00)   
    
12. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:28 - 16:30  (00:02)   
    
13. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:24 - 16:26  (00:01)   
    
14. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:23 - 16:26  (00:03)   
    
15. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:19 - 16:26  (00:07)   
    
16. reboot   system boot  2.6.32-754.33.1. Wed Jun  9 16:10 - 16:26  (00:15)   
    
17. root     pts/0        106.53.***.***   Fri Jun  4 14:16 - 14:31  (00:15) 本人登录
    

复制代码

tengxunkuku

我的root密码和公钥也莫名其妙的变过

winig72

哪一家。、、、、、、、、？

yanzhiling2001

现在和云管系统配套的系统都有间谍程序，想进你机器查你业务还是挺简单的。

再不然把你的虚拟机拷贝一份另外开机，进入grub破开密码查。

你既然怀疑，那就是真的。

专业黑人抬棺

你说的如果是国内机房，可能机房 上面收到一个 假的 文书都能把你 全部数据送出去，别说密码权限了

今晚不吃饭

暂时还没有遇到过这种事情

ssjoy

如果是机房干的，还是国内机房，这种操作很正常，就是不知道是国家要求，还是机房私下行为了

Nebula

是机房的话，直接cp你机器盘就行了，进去改你网卡干嘛

主菜单

完事先来DD个系统