(这条文章已经被阅读了 822 次) 时间:2001-04-13 04:03:31 来源:林兴陆 (lin) 原创-IT
近日,国内知名的IT写作社区“斗牛士”(www.donews.co)连连受到黑客攻击,从最早的类似 d.o.s 式的拒绝访问攻击到入侵服务器将数据库清除,“它”已经达到了走火入魔的境界。
在4月2日,IT写作社区的数据库首次被黑客清除,事情的经过从接到一个 dodo 打过来的电话开始,“喂,小林吗?佳说 DoNews 的数据库被人清空了,他现在上不了网,让你打个电话给他”,我说不太可能吧,数据库清空?一直有黑客攻击,都但是类似 d.o.s 式的攻击,根本没什么杀伤力的,抱着怀疑的态度,我拨号上网,打开了 http://www.donews.com 网址,显示“Unknown database ‘liuren’”,意思是未知的数据库,于是马上打开 Telnet 程序,登录上了 DoNews 服务器查个究竟。
先前服务器操作系统是 Linux ,数据库为 MySQL ,数据库文件指到 /home/database 目录下,查看这个目录,发现里面一个文件也没有了,由于在 crontab 里面加入了每天凌晨5点自动导出数据备份的设置,所以想用当天早上的先数据恢复回来,备份的数据库文件存放在 /home/backup 目录下,结果很失望的事情发生了,这个目录里面的备份数据文件也被清空了,检查是否其它可能,马上用 df 查硬盘使用情况,发现硬盘占用空间比例比之前登录上来服务器时的要小得多,没折了,数据库真的被清空了,使用包括 unrm 之类的工具程序也无法挽救当天的数据了,查查最近的备份在另一台主机的最后备份时间吧,当时想,那台备份主机是位于湛江的一台服务器,结果由于那台服务器换IP地址了,所以最近的备份数据并没有同步过去,备份的数据可能比较旧了,后来让在广东的朋友把那台服务器的IP地址告诉我,登录上去查看,结果发现上面的备份数据旧得可怜,是1月1x日的数据。这时,佳也上来了,我问他有没有备份过最新的数据,开始时说有,他 tar 过数据文件,结果发现他只 tar 了另一个库,而不是 DoNews 应用的 liuren 的这个库。晕,再找找有没有…
最后在我的机器上找到了一份时间为3月8日的备份数据,但是整个数据库的内容比较大,靠一个 MODEM 上载,估计要花一个晚上的时候,所以决定第二天找个专线再上载,并恢复。可是又不能没数据,于是将一份1月1x日的备份数据从广东传到了北京大兴机房的 DoNews 的主机上,终于在当天临时的恢复了旧面貌,当时什么也没想到,只联想起了一件东西“月光宝盒”,把大家辛辛苦苦创造出来的一篇篇文章,打回了原形。
以此同时,我和佳在ICQ及QQ上的对话一直在讨论关于黑客可能从哪个漏洞的事情,从 FTP、Named 到 MySQL ,以及分析检查了系统安全的日志文件,得到了一个可疑的 IP 地址,这个 IP 地址来自重庆,可能是数据被清时的最接近的试图访问 DoNews 主机时留下的,所以我们都觉得很可能是从 FTP 的溢出漏洞进来的,于是当即就把 ftpd 给换掉了。
另外,也不排除 Bind8(Named) 存在溢出漏洞的可能,服务器上也有些可疑的进程,怀疑可能被植入了木马程序了,其中有一个进程就特别奇怪,kill 掉它时,连接就断了。
…… 困了,下次再写,今晚就写到这里吧,抢救及恢复数据就够累了,晚安。
黑客,互联网的悲哀(上) - 导龄 - 2001-04-13 11:14:11
辛苦,安全卫士不容易
Re:黑客,互联网的悲哀(上) - 张飞雪 - 2001-04-13 13:29:12
咱们不能报警吗?如果再遇到攻击,或者现在就报!
Re:黑客,互联网的悲哀(上) - 曾丹 - 2001-04-13 15:29:40
不要悲哀 拒绝悲哀 向小林致敬! 向黑客唾弃!
Re:黑客,互联网的悲哀(上) - 方军 - 2001-04-13 17:31:57
查到原因了吗?找个安全方面的专家仔细研究研究吧,老这样那个骇客岂不是躲在暗处偷着笑?
Re:黑客,互联网的悲哀(上) - 罗宾汉 - 2001-04-15 17:25:17
由于工作方面的原因,在公司不能利用公司的资源 来进行对donews的安全管理和监控,所以只能够利用 晚上的时间来进行察看,发生这次事件后,我也被公司 警告了,所以希望有网络上面的安全高手跟我们进行 交流,尽最大力度的防止该事件的发生。
Re:黑客,互联网的悲哀(上) - atlans - 2001-04-16 01:11:29
悲哀的是眼红的泪