V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skyrem
V2EX  ›  信息安全

自用开发服务器被黑了,怎么看黑客在我机器上做了什么?

  •  
  •   skyrem · 2023-10-25 11:27:07 +08:00 · 5033 次点击
    这是一个创建于 396 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是这样,我家里有一个自用的 INTEL NUC ,装了 Fedora 38,平时配置了 authorized_key ssh 上去开发用

    用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。

    今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。

    通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.

    /home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
    ```
    -rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
    -rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
    -rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
    -rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
    -rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
    ```
    另外还可以查看些什么被修改的地方?
    第 1 条附言  ·  2023-10-25 17:06:39 +08:00
    后面仔细排查了下,有个叫 myservice 的服务启动了一个 /usr/bin/player 的程序

    这程序常年让 CPU 占用用率保持在 80% 左右。看上去是挖圹的,但没有找到更多信息
    34 条回复    2023-10-30 19:59:11 +08:00
    x86
        1
    x86  
       2023-10-25 11:28:57 +08:00
    看都不用看,不是挖坑就是留着以后 DDOS
    bkmi
        2
    bkmi  
       2023-10-25 11:37:11 +08:00 via Android
    我好奇的是怎么被黑的,都跑了什么服务,ssh 关闭密码登录没,如果没关,那只能说该。
    sheeta
        3
    sheeta  
       2023-10-25 11:39:42 +08:00
    《 另外我的 Root 密码比较简单》
    skyrem
        4
    skyrem  
    OP
       2023-10-25 11:41:20 +08:00
    @bkmi #2 没关密码登录 ,在 Docker 里跑了 Frp ,和一些 web 应用,postgres ,kafka ,nginx 啥的
    skyrem
        5
    skyrem  
    OP
       2023-10-25 11:51:22 +08:00
    @sheeta #3 我反思,我检讨
    n2l
        6
    n2l  
       2023-10-25 11:56:43 +08:00
    吃过亏长记性就好啦。
    Nitroethane
        7
    Nitroethane  
       2023-10-25 12:05:57 +08:00
    直接重装系统吧,root 密码泄漏的话想做什么做什么,清理不干净的
    titanium98118
        8
    titanium98118  
       2023-10-25 13:32:46 +08:00
    配置了 authorized_key ,但 root 密码登录不关?
    Tyuans
        9
    Tyuans  
       2023-10-25 13:36:05 +08:00
    不重要就重做吧,本身不都是 docker 吗,有用的弄出来重新做得了。
    fs418082760
        10
    fs418082760  
       2023-10-25 14:08:00 +08:00
    fail2ban
    Binwalker
        11
    Binwalker  
       2023-10-25 14:17:18 +08:00
    设置了 authorized_key ,但是 root 密码不关,你也是个人才,这设置有何用
    hetingting
        12
    hetingting  
       2023-10-25 15:45:11 +08:00
    建议使用这个命令后重装系统:sudo rm -rf /*
    thinkm
        13
    thinkm  
       2023-10-25 15:54:33 +08:00
    搞不懂黑客为什么这么蠢,还改 root 密码,是生怕别人不知道被后门了吗
    luny
        14
    luny  
       2023-10-25 16:40:38 +08:00
    中招了很难修复,加入的东西隐藏的很深,在公网弱密码真的很惨,之前中招被装了挖矿程序,删都删不掉。
    march1993
        15
    march1993  
       2023-10-25 16:46:55 +08:00
    @thinkm 是怕别人进来挤掉自己好不容易找到的算力和 IP
    someday3
        16
    someday3  
       2023-10-25 17:16:43 +08:00   ❤️ 1
    瞧瞧,瞧瞧,有 nat 把大家惯成啥样了。 都不知道世界的险恶了。
    flyqie
        17
    flyqie  
       2023-10-25 19:47:38 +08:00 via Android
    @thinkm #13

    有些服务器可能很久都不会有人登一次。。

    打算赌一把?
    someonedeng
        18
    someonedeng  
       2023-10-25 19:48:20 +08:00
    不看了,备份一下重装吧
    slack
        19
    slack  
       2023-10-25 20:10:32 +08:00
    我记得 Fedora 好像默认是有 SELinux 的呀,楼主关了?
    tankren
        20
    tankren  
       2023-10-25 20:30:37 +08:00
    直接重装
    henix
        21
    henix  
       2023-10-25 20:50:52 +08:00
    journalctl -b 看看系统日志?看看黑客执行了些啥高权限操作。不过这个也有可能被清了
    jim9606
        22
    jim9606  
       2023-10-25 22:00:23 +08:00
    想研究我建议硬盘拆出来镜像后研究,不过现在有 fileless 的木马不好找。
    别想着修复环境,老实格盘重建。
    zhng920823
        23
    zhng920823  
       2023-10-25 22:11:16 +08:00
    @jim9606 #22 是不是有写入 BIOS/UEFI 的木马?
    有些笔记本的防盗功能就会在 windows 下放入一个文件并自启动,针对 linux 的不知道有没有
    GeekGao
        24
    GeekGao  
       2023-10-25 22:23:17 +08:00
    不用浪费时间,格式化重装
    allpass2023
        25
    allpass2023  
       2023-10-25 22:27:59 +08:00
    @thinkm

    有可能是用漏洞进来的,对方并不知道密码,只可以改。
    ashong
        26
    ashong  
       2023-10-25 22:42:58 +08:00
    非公开服务最好是 vpn 回家 使用
    jim9606
        27
    jim9606  
       2023-10-25 22:48:10 +08:00
    @zhng920823 有可能,非商用系统可能没有正确实现固件保护。
    至于固件防盗,例如 Intel Anti-Theft ,还有 Dell 电脑常见的 Absolute Computrace 。
    这个东西需要针对 OS 设计,拿 Computrace 来说,启用后会劫持 windows 启动流程,在系统写入 rpc 服务,在完成启动后带起 rpc 服务联网通信。显然这些步骤都假定是 win 系统了。
    kingjpa
        28
    kingjpa  
       2023-10-25 23:49:32 +08:00
    不要做无用功,因为你永远也不会知道它在服务器到底做了啥,你做的一切都是猜测
    正确办法是 备份数据,立刻彻底重装。
    blacktail
        29
    blacktail  
       2023-10-26 11:03:04 +08:00
    一直用 key 登录也会被黑吗
    NGGTI
        30
    NGGTI  
       2023-10-26 12:40:08 +08:00
    @thinkm #13 这种是自动化扫描程序扫到了,自动植入挖矿,并修改密码,防止其他挖矿病毒来抢占资源。
    phx1
        31
    phx1  
       2023-10-26 13:07:14 +08:00
    可以试一下牧云主机助手的安全扫描,主要做入侵痕迹排查的
    Cyshall
        32
    Cyshall  
       2023-10-26 14:46:52 +08:00
    用 tailscale 或者 zerotier 这种组网,跑 frp 的台公网服务器跑中转服务,这样你 root 密码设置的再简单都没事,而且不需要每次起一个服务还要跑到 frp 添加端口
    lupus721
        33
    lupus721  
       2023-10-30 10:58:16 +08:00
    建议重做应用,cp 东西,别想着完全查清楚对方做了什么。 给 28 楼点赞。
    weeei
        34
    weeei  
       2023-10-30 19:59:11 +08:00
    仅允许 pubkey 登录,root 密码简单一点没事
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2482 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:49 · PVG 23:49 · LAX 07:49 · JFK 10:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.