在麒麟kirincomm上面的一台windows vps被人hack了,然后把我上面的google drive给加密啰嗦了。
同时因为我在这台vps上登陆了chrome,有auto-fill(特别不小心),导致黑客可以随意登陆那些我没有加二次验证的网站。好在我基本上把所有的重要网站都加了二次验证,所以损失不大。
想想更后怕的是,我在这台机器上竟然开启了bitwarden,还有我的登陆有效时间只有30分钟;不然损失可就大到天了。我是12点半去睡觉的,而黑客大概在4点半左右黑进了机器。好险。
Contents
hide
一些经验教训:
- 所有登陆能加二次验证的,一定要加二次验证 – 而只用手机或者TOTP(谷歌验证码)
- 在不信任的机器上,千万不要进行密码auto-fill
- 在网上的机器中,不能有敏感数据
- 不安全的地方的登陆session尽可能的短,15-30分钟以内
- Bitwarden是重中之重,master password只记脑子里; 二次验证不能放自己里面,放authy。
- 即使是自己的电脑或手机的登陆在线时间不能超过2小时 + 加强生物认证
- 重要资料一定要备份 – 这次黑客把我在Google Drive上面的资料都被加密勒索了,但幸运的是我5年前就停用Google Drive了 – 迁移到国内的网盘上面,所以没啥数据上的损失。如果上面有我重要资料,可就哭死了。
- 停止email二次验证码,不然对于已经登录了email账号之后的浏览器,黑客可以点几下就可以看到email里面的验证码了了。
- vps可以定时做snapshot – 尤其搬瓦工的机器的snapshot特别好用
- 宝塔面板一定要开启特殊路径登陆和二次验证;可选开启ip白名单
一些必要检查措施
- 修改所有linux vps的登陆密码和ssh key – cat /etc/passwd && passwd New_Password
- 查看所有vps上面的登陆记录 last 或 tail -100 /var/log/auth.log
- 查看所有vps上面的命令历史 – history
- 查看所有cronjob 和 bash.rc zsh.rc 等(crontab -l; cat /etc/rc.local)
- 查看所有活跃链接 netstat -ano
- reset rclone.conf
- 查看所有开放端口 lsof -i:1-65555
- 修改ssh public key和登陆端口 — bash <(curl -fsSL git.io/key.sh) -og github-user-name -d -p <PORT>
- 修改mysql root密码
- 重启wordpress的密码
- 修改nextcloud密码
- Google Chrome 或 bitwarden 可以一键检查所有密码是否在一些黑客网站上泄露
- check all Google/Facebook/Twitter accounts
- check all bank accounts