被hack之后的一系列事情

在麒麟kirincomm上面的一台windows vps被人hack了,然后把我上面的google drive给加密啰嗦了。

同时因为我在这台vps上登陆了chrome,有auto-fill(特别不小心),导致黑客可以随意登陆那些我没有加二次验证的网站。好在我基本上把所有的重要网站都加了二次验证,所以损失不大。

想想更后怕的是,我在这台机器上竟然开启了bitwarden,还有我的登陆有效时间只有30分钟;不然损失可就大到天了。我是12点半去睡觉的,而黑客大概在4点半左右黑进了机器。好险。

一些经验教训:

  • 所有登陆能加二次验证的,一定要加二次验证 – 而只用手机或者TOTP(谷歌验证码)
  • 在不信任的机器上,千万不要进行密码auto-fill
  • 在网上的机器中,不能有敏感数据
  • 不安全的地方的登陆session尽可能的短,15-30分钟以内
  • Bitwarden是重中之重,master password只记脑子里; 二次验证不能放自己里面,放authy。
  • 即使是自己的电脑或手机的登陆在线时间不能超过2小时 + 加强生物认证
  • 重要资料一定要备份 – 这次黑客把我在Google Drive上面的资料都被加密勒索了,但幸运的是我5年前就停用Google Drive了 – 迁移到国内的网盘上面,所以没啥数据上的损失。如果上面有我重要资料,可就哭死了。
  • 停止email二次验证码,不然对于已经登录了email账号之后的浏览器,黑客可以点几下就可以看到email里面的验证码了了。
  • vps可以定时做snapshot – 尤其搬瓦工的机器的snapshot特别好用
  • 宝塔面板一定要开启特殊路径登陆和二次验证;可选开启ip白名单

一些必要检查措施

  • 修改所有linux vps的登陆密码和ssh key – cat /etc/passwd && passwd New_Password
  • 查看所有vps上面的登陆记录 last 或 tail -100 /var/log/auth.log
  • 查看所有vps上面的命令历史 – history
  • 查看所有cronjob 和 bash.rc zsh.rc 等(crontab -l; cat /etc/rc.local)
  • 查看所有活跃链接 netstat -ano
  • reset rclone.conf
  • 查看所有开放端口 lsof -i:1:65555
  • 修改ssh public key和登陆端口 — bash <(curl -fsSL git.io/key.sh) -og github-user-name -d -p <PORT>
  • 修改mysql root密码
  • 重启wordpress的密码
  • 修改nextcloud密码
  • Google Chrome 或 bitwarden 可以一键检查所有密码是否在一些黑客网站上泄露
  • check all Google/Facebook/Twitter accounts
  • check all bank accounts

Leave a Reply