在大学宿舍的 OpenWRT 路由器被挂马了？ - V2EX

在大学宿舍的 OpenWRT 路由器被挂马了？ - V2EX

Home Sign Up Sign In

This topic created in 1631 days ago, the information mentioned may be changed or developed.

在宿舍放了一个 OpenWRT 路由器，为了方便远程管理开了 ssh 传入。弱点就是单 root 用户，而且是密码登录。原本心想是在学校内网就没有太大事情，结果今天就出事了。

想用 ps 命令看一下后台进程的，看到了这个：

ash -c /bin/sh -c 'P=python3; $P -V 2>/dev/null || P=python; exec "$P" -c '"'"'import sys, os; verbosity=0; sys.stdin = os.fdopen(0, "rb"); exec(compile(sys.stdin.read(1486), "assembler.py", "exec"))'"'"''

绝对是通过什么手段注入进来的，现在大学内网环境也不安全啊，感叹。路由器是 mips 架构的，flash 很小，目前还有 124K 。感觉是对方没能把后面的脚本塞进去，放弃了，上面的进程还跑着。

Filesystem Size Used Available Use% Mounted on rootfs 5.2M 5.1M 124.0K 98% /

SSH 连接日志也没有，用 htop 看到进程是晚六点启动的。

向各位大神请教下这个 one-liner 有什么含义。

Supplement 1 Nov 29, 2021

感谢 @eason1874 、 @sola97 ，刚刚彻查了一下，确实是我自己在 Tmux 里面开的 shuttle 造成的。没想到 shuttle 还会调用远程机器的 Python 。

不过在 ps 里面看到不认识的一句话代码还是很吓人的，第一反应就是被黑了。想到上面还有我挂着的一块重要的硬盘，顿时慌了手脚 hhhh

15 replies 2021-11-30 16:45:04 +08:00

1

ccino

Nov 29, 2021 via Android

不懂，帮不了楼主。。。

2

iceheart

Nov 29, 2021 via Android

看父进程 id,跟你的 ps 命令是同一个，也就是 bash 进程

3

wevsty

Nov 29, 2021

大概就是从 stdin 读了一个什么东东然后执行起来了。

4

eason1874

Nov 29, 2021

3

这就是你自己在用的 sshuttle 吧。。。

不过学校这种地方的内网确实不安全的，大部分大学生的电脑约等于养蛊机器，得注意防护

5

mikewang

OP

Nov 29, 2021

@iceheart 还真不是，那个 ash 父进程是 24085 的 dropbear （提供 ssh 服务的），和我不在同一个父进程下面。

6

mikewang

OP

Nov 29, 2021

@eason1874 确实有用 sshuttle ，我去看看

7

sola97

Nov 29, 2021

1

破案了

8

fan88

Nov 29, 2021

openwrt 也没这么脆弱。除非弱口令，一般也没这么多漏洞可以打

9

Marionic0723

Nov 29, 2021 via Android

关闭外网的权限，用 zerotier 组一个虚拟局域网用吧，需要的时候，手机接入就能直接访问。

10

yaott2020

Nov 29, 2021

openwrt 别用 openwrt 做 ssid ，密码也是 1234567890 ，ssh 密码也简单，简直找死。遇到过一个，直接黑进 ssh ，还好遇到我。。

padavan 和上面一样

11

rayhy

Nov 30, 2021 via Android

大学内网病毒更是肆虐无阻…我有管理着实验室服务器，天天最怕的事情就是中毒。搞到最后，ssh 端口换了，密码、root 登录关了，每个机器只剩下一个用户了。甚至有的机器只能 zerotier 连上。就这样也慌的一 B

12

icegaze

Nov 30, 2021 via Android

@rayhy 可以用证书啊，关闭密码登录，
网上随意逛的人搞出来对应你机器的正确的证书那基本是不可能的…

13

lB2cGz9OQ1agw7XK

Nov 30, 2021

有内鬼

14

andyskaura

Nov 30, 2021

@szqhades 内鬼竟是我自己 23333

15

flynaj

Nov 30, 2021 via Android

弱口令，默认端口，什么系统都可能被黑。

About Help Advertise Blog API FAQ Solana 1103 Online Highest 6679

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 65ms UTC 18:30 PVG 02:30 LAX 11:30 JFK 14:30
Do have faith in what you're doing.

ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86