搜索
bottom↓
回复: 62

惊心动魄:短信报警显示,前几天我们的服务器深夜3点被侵入.....

[复制链接]
头像被屏蔽

出0入0汤圆

发表于 2010-9-15 03:45:47 | 显示全部楼层 |阅读模式
提示: 作者被禁止或删除 内容自动屏蔽

阿莫论坛20周年了!感谢大家的支持与爱护!!

如果想吃一顿饺子,就得从冰箱里取出肉,剁馅儿,倒面粉、揉面、醒面,擀成皮儿,下锅……
一整个繁琐流程,就是为了出锅时那一嘴滚烫流油的热饺子。

如果这个过程,禁不住饿,零食下肚了,饺子出锅时也就不香了……《非诚勿扰3》

出0入0汤圆

发表于 2010-9-15 04:39:51 | 显示全部楼层
我边上的领导睡的像头死猪,好好笑啊~~~~~

出0入0汤圆

发表于 2010-9-15 04:48:30 | 显示全部楼层
还是拨打电话好,没有延迟.短信不靠谱....

出0入0汤圆

发表于 2010-9-15 05:04:51 | 显示全部楼层
本坛最大的标题党出现了

出0入0汤圆

发表于 2010-9-15 06:11:35 | 显示全部楼层
吓人一跳,不过手机短信这玩意确实是不保证实时性的。另外,在短信信息内容里里写上准确的发送时间,也许能减低误报,复杂点这个时间最好不只依赖服务器的时间,更可靠些。
不过真被入侵,却又点背短信被阻塞那就没法子了。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 07:47:10 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 07:47:12 | 显示全部楼层
回复【3楼】rainyss
本坛最大的标题党出现了
-----------------------------------------------------------------------

支持,最高级的leader成为标题党

出0入0汤圆

发表于 2010-9-15 08:06:42 | 显示全部楼层
呵呵,支持,最高级的leader成为标题党
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:09:30 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 08:11:14 | 显示全部楼层
短信附带上时间不就好了。。加上时间用户IP就登录时候没有通知了
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:15:26 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 08:17:31 | 显示全部楼层
看了标题吓一跳,原来是虚惊一场啊!!!

出0入0汤圆

发表于 2010-9-15 08:17:54 | 显示全部楼层
后来查明是什么人入侵的了么?
抓住一定不能轻饶……

出0入0汤圆

发表于 2010-9-15 08:22:34 | 显示全部楼层
老大要小心,或者这只是试探性的

可能隐藏着更深的阴谋~~~~

出0入0汤圆

发表于 2010-9-15 08:23:20 | 显示全部楼层
虚惊一场,呵呵

出0入0汤圆

发表于 2010-9-15 08:24:18 | 显示全部楼层
mark    这个发送短信需要外部设备吧?
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:25:36 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 08:33:13 | 显示全部楼层
短信延时在节假日发祝福短信的高峰期经常遇到

出0入0汤圆

发表于 2010-9-15 08:41:35 | 显示全部楼层
短信的实时性是非常不可靠的
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:44:25 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 08:46:48 | 显示全部楼层
回复【16楼】armok 阿莫
-----------------------------------------------------------------------
不是已经查出来了吗?  
原来报警的短信是晚上23点发出时,不知道什么原因,竟然卡在移动公司里,4个小时后才发给我。 (我在23点睡觉前进入过系统)。  

-----------------------------------------------------------------------
呵呵,我理解能力差。再加上看帖不仔细。
原来是合法访问的短信被延迟了4个小时才发出……
看来以后每次访问后,要记得看看是否收到了警告短信。

出150入0汤圆

发表于 2010-9-15 08:47:59 | 显示全部楼层
阿莫以后尝试用以太网电源管理设备去开关服务器电源。

出0入0汤圆

发表于 2010-9-15 08:48:05 | 显示全部楼层
惊悚片+故事片+悬念剧+喜剧+闹剧=《深夜入侵》
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:49:45 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 08:54:49 | 显示全部楼层
如果老大用的是品牌服务器,其实可以用远程控制卡之类的。比如HP的iLO,我们用的非常好。可以远程重启、开关机、甚至有类似于远程桌面的功能。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 08:58:43 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 09:09:29 | 显示全部楼层
短信延时一般在24小时之内,可以考虑在内容里加上一个字节用于表示发短信的时间,比如用a-x之间的24个字符,表示当前时间,就可以精确到1小时了,如果使用a-x,A-X,就有48个字符范围,可以精确到半小时(a表示0:00-0:30,b表示0:30-1:00...x表示11:30-12:00...X表示23:30-0:00)。这样虽然看起来费劲点,但是用一个字节换取时间信息,还是值得的。

出0入618汤圆

发表于 2010-9-15 09:12:01 | 显示全部楼层
建议用SSH证书登录,把密码登录关掉,会安全很多。
不过大多数入侵都不会直接登录系统,而是利用各种漏洞在目标系统植入木马并且提升权限,所以入侵触发远程登录报警的几率是非常低的。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 09:20:38 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 09:21:19 | 显示全部楼层
逢年过节提前几天发短信是有必要的

出110入26汤圆

发表于 2010-9-15 09:41:43 | 显示全部楼层
在学校经常会短信延迟,而且是正好一个小时,一分钟也不差.不明原因...

出0入0汤圆

发表于 2010-9-15 09:42:03 | 显示全部楼层
报警短信内容中加入报警时间就可以避免这种意外,
但是不可避免的是,实时性不好,
真有入侵者,闪了4h后,才报警,黄花菜都凉了-_-

出0入618汤圆

发表于 2010-9-15 09:52:26 | 显示全部楼层
回复【28楼】armok 阿莫
回复【27楼】gzhuli 咕唧霖
建议用ssh证书登录,把密码登录关掉,会安全很多。  
不过大多数入侵都不会直接登录系统,而是利用各种漏洞在目标系统植入木马并且提升权限,所以入侵触发远程登录报警的几率是非常低的。
-----------------------------------------------------------------------
我们不单在登录时发报警,在线时也会发的。
-----------------------------------------------------------------------

在线的定义是什么?举例说常见的Web入侵手法,首先是在Web应用上找到漏洞,例如SQL注入,然后利用某些数据库的shell执行能力来运行注入的木马,此时木马的身份是数据库的子进程,然后木马再利用系统漏洞提升权限,这种情况算“在线”吗?这个不改内核是无法监测的。
大部分直接在页面中嵌入数据库操作的程序,SQL注入的风险是非常高的。为什么老说PHP不安全,很大原因是大部分PHP程序员的风格就是直接在页面里面写SQL且疏于对传入参数的检查。当然,PHP本身链接了大量的第三方库也是其高风险之一。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 10:00:02 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-15 10:00:56 | 显示全部楼层
在短信里加个时间标签吧,

出0入0汤圆

发表于 2010-9-15 10:01:47 | 显示全部楼层
不用拔电源,拔网线就行吧

出0入0汤圆

发表于 2010-9-15 10:07:15 | 显示全部楼层
回复【35楼】gongnn  魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
如果真的被侵.此时已有破坏脚本在后台运行.拔网线没用.

出200入0汤圆

发表于 2010-9-15 10:16:11 | 显示全部楼层
短信和GPRS都是民用的吧,用在这里不能保证可靠性哦。

我看了标题,第一感觉就是最近的那个造假公司来捣乱来了,老大要小心了。

出0入618汤圆

发表于 2010-9-15 10:28:56 | 显示全部楼层
回复【35楼】gongnn 魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------

你还没见过狠的,入侵后直接植入内核模块,隐藏木马进程和文件,接着后门大开……
然后你进入系统,看了一圈没发现异常,插上网线回去睡觉,一台肉鸡就此诞生。

我曾经帮人处理过一台Linux服务器,就是这个状况,进去看系统一切正常,但硬防火墙检测到不正常的流量,而系统找不到对应的端口占用。后来用Live CD进去才发现,所有/bin和/sbin下面的文件都被改过了,在原系统运行ls,ps,netstat这些命令看到的结果全是动过刀的。
所以系统怀疑被入侵后,安全的做法是启动一个独立的系统(WinPE或Linux Live CD),然后对系统关键文件做一次MD5校验……

出0入0汤圆

发表于 2010-9-15 10:39:39 | 显示全部楼层
短信的文字长短有限制,我们用于显示更重要的信息的。
-----------------------------------------------------------------------
加一个确认功能就好了,就像笑话里的,老公问一句:“你在哪里?”,有正确回应就解决问题了

出0入0汤圆

发表于 2010-9-15 10:40:12 | 显示全部楼层
真正的高手会绕过报警直接进入系统。

出0入0汤圆

发表于 2010-9-15 10:46:17 | 显示全部楼层
呵呵,竟有这事

出0入0汤圆

发表于 2010-9-15 11:23:36 | 显示全部楼层
每条短信后都是发信时间的,不会这个也被延时了吧?

出0入0汤圆

发表于 2010-9-15 11:38:51 | 显示全部楼层
老大被搞怕了。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-15 11:41:41 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出50入0汤圆

发表于 2010-9-15 11:52:24 | 显示全部楼层
短信延时是经常发生的。以前给移动做设备的报警监控的时候,也是用的短信报警,短信丢失,延时几个小时的情况经常发生。

出0入0汤圆

发表于 2010-9-15 12:40:41 | 显示全部楼层
我边上的leader睡的像头死猪,好好笑啊!

出0入0汤圆

发表于 2010-9-15 16:18:57 | 显示全部楼层
回复【楼主位】armok 阿莫
kao! 看来有人非法闯入了我们的系统了。 我们的系统目前我可以用“固若金汤”来形容,能侵入我们系统的一定非等闲之辈。虽然我们已经挖了许多陷阱捕捉入侵者,但保护我们的服务器更重要, 我打电话给电信机房通宵值班的人员, 让他们将我们所有的服务器(六台)的电源立即全部拨掉!
-----------------------------------------------------------------------

如果是我就会让他们只吧网线拔掉,断了电许多状态就没有了,不利于追踪元凶。

出0入0汤圆

发表于 2010-9-15 16:29:39 | 显示全部楼层
短信内容里面要加上发送时间啊

出0入0汤圆

发表于 2010-9-15 23:58:54 | 显示全部楼层
节日期间短信延时很严重,还是不保险啊

出0入0汤圆

发表于 2010-9-16 11:37:30 | 显示全部楼层
单单看题目,就有种山雨欲来的感觉,看到后面类省略号,更有种引人入胜之感,看了故事前面,感觉故事必定曲折离奇,哈哈哈....最妙的是后面的 笑话......前后呼应,真是一篇好文章,哈哈哈

出0入0汤圆

发表于 2010-9-16 12:48:21 | 显示全部楼层
回复【32楼】gzhuli  咕唧霖
在线的定义是什么?举例说常见的Web入侵手法,首先是在Web应用上找到漏洞,例如SQL注入,然后利用某些数据库的shell执行能力来运行注入的木马,此时木马的身份是数据库的子进程,然后木马再利用系统漏洞提升权限,这种情况算“在线”吗?这个不改内核是无法监测的。
大部分直接在页面中嵌入数据库操作的程序,SQL注入的风险是非常高的。为什么老说PHP不安全,很大原因是大部分PHP程序员的风格就是直接在页面里面写SQL且疏于对传入参数的检查。当然,PHP本身链接了大量的第三方库也是其高风险之一。
-----------------------------------------------------------------------

关于 PHP,那是因为国内程序员普遍不思进取,不会用 PDO,更不习惯用字段绑定变量

不考虑这种情况的话,PHP 本身的性能仍然是相当有优势的

另外,即使如此,只要认真规划数据库权限,或者在数据库的 Proxy 上做点处理,禁止查询中出现不当关键词序列,就可以完全避免这类问题

最后,即使发生了 SQL 注入,稍微正常一点的数据库构架也不会允许普通用户进程有 shell 权限的

对于不足总数十万分之一的极高明的攻击者来说,可能随便任何一点漏洞都能利用来进行完整的入侵,但对于剩下的十万分之九万九千九百九十九,其实能攻入系统,更需要的是一系列漏洞的同时出现和相互配合

出0入0汤圆

发表于 2010-9-16 13:16:12 | 显示全部楼层
照这个速度,4小时后才知道,人家都给你硬盘低格好几次了。
头像被屏蔽

出0入0汤圆

 楼主| 发表于 2010-9-16 13:26:11 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

出0入0汤圆

发表于 2010-9-16 13:29:33 | 显示全部楼层
回复【38楼】gzhuli  咕唧霖
回复【35楼】gongnn 魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
你还没见过狠的,入侵后直接植入内核模块,隐藏木马进程和文件,接着后门大开……
然后你进入系统,看了一圈没发现异常,插上网线回去睡觉,一台肉鸡就此诞生。
我曾经帮人处理过一台linux服务器,就是这个状况,进去看系统一切正常,但硬防火墙检测到不正常的流量,而系统找不到对应的端口占用。后来用live cd进去才发现,所有/bin和/sbin下面的文件都被改过了,在原系统运行ls,ps,netstat这些命令看到的结果全是动过刀的。
所以系统怀疑被入侵后,安全的做法是启动一个独立的系统(winpe或linux live cd),然后对系统关键文件做一次md5校验……
-----------------------------------------------------------------------

这点上,确实 Linux 有相当的不足(Windows 就不考虑了……)

如果是 BSD 系统,哪怕在最坏的情况下(入侵者已经夺取了 root 权限,并开了一个不受监控的远程控制台),也可以通过 securelevel 和 user defined flags 的配合,阻止任何安装 rootkit 的尝试,这样,哪怕入侵者留下后门,也只能经由相对麻烦和不稳妥的方式,也至少能保证,只要不启动任何定制 daemon,在本地控制台登录的 root 用户得到的一定是一个干净的系统(虽然 daemon 的数据和程序都不能确定安全)

出0入0汤圆

发表于 2010-9-16 16:57:22 | 显示全部楼层
用GPRS搞个报警模块好了,实时性强。

出0入0汤圆

发表于 2010-9-16 21:45:52 | 显示全部楼层
如果在短信内容中增加个时间应该不难吧?

出0入0汤圆

发表于 2010-9-17 02:11:31 | 显示全部楼层
最近几年还好,前几年这个短信延迟,能把人害死。。。

出0入0汤圆

发表于 2014-7-4 16:34:59 | 显示全部楼层
阿莫的服务器果然强大啊,

出0入0汤圆

发表于 2014-7-4 16:43:51 | 显示全部楼层
报警电话拨通以后说什么啊

出0入0汤圆

发表于 2014-7-4 16:59:16 | 显示全部楼层
弄一个远程控制断开服务器电源的吧,以后再出现这种事,直接远程控制就行了,控制完继续睡大觉,该干嘛干嘛

出0入0汤圆

发表于 2014-7-4 17:25:58 | 显示全部楼层
感觉像我的防盗系统一样,半夜报警触发也要爬起来查看,结果是小动物
回帖提示: 反政府言论将被立即封锁ID 在按“提交”前,请自问一下:我这样表达会给举报吗,会给自己惹麻烦吗? 另外:尽量不要使用Mark、顶等没有意义的回复。不得大量使用大字体和彩色字。【本论坛不允许直接上传手机拍摄图片,浪费大家下载带宽和论坛服务器空间,请压缩后(图片小于1兆)才上传。压缩方法可以在微信里面发给自己(不要勾选“原图),然后下载,就能得到压缩后的图片】。另外,手机版只能上传图片,要上传附件需要切换到电脑版(不需要使用电脑,手机上切换到电脑版就行,页面底部)。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|Archiver|amobbs.com 阿莫电子技术论坛 ( 粤ICP备2022115958号, 版权所有:东莞阿莫电子贸易商行 创办于2004年 (公安交互式论坛备案:44190002001997 ) )

GMT+8, 2024-3-28 20:10

© Since 2004 www.amobbs.com, 原www.ourdev.cn, 原www.ouravr.com

快速回复 返回顶部 返回列表