这是一个创建于 716 天前的主题,其中的信息可能已经有所发展或是发生改变。
是这样,我家里有一个自用的 INTEL NUC ,装了 Fedora 38,平时配置了 authorized_key ssh 上去开发用
用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。
今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。
通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.
/home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
```
-rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
-rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
-rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
-rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
-rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
```
另外还可以查看些什么被修改的地方?
用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。
今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。
通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.
/home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
```
-rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
-rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
-rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
-rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
-rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
```
另外还可以查看些什么被修改的地方?
第 1 条附言 2023-10-25 17:06:39 +08:00
后面仔细排查了下,有个叫 myservice 的服务启动了一个 /usr/bin/player 的程序
这程序常年让 CPU 占用用率保持在 80% 左右。看上去是挖圹的,但没有找到更多信息
这程序常年让 CPU 占用用率保持在 80% 左右。看上去是挖圹的,但没有找到更多信息
 | 1 x86 2023-10-25 11:28:57 +08:00 看都不用看,不是挖坑就是留着以后 DDOS |
 | 2 bkmi 2023-10-25 11:37:11 +08:00 via Android 我好奇的是怎么被黑的,都跑了什么服务,ssh 关闭密码登录没,如果没关,那只能说该。 |
 | 3 sheeta 2023-10-25 11:39:42 +08:00 《 另外我的 Root 密码比较简单》 |
 | 4 skyrem OP @bkmi #2 没关密码登录  ,在 Docker 里跑了 Frp ,和一些 web 应用,postgres ,kafka ,nginx 啥的 |
 | 6 n2l 2023-10-25 11:56:43 +08:00 吃过亏长记性就好啦。 |
 | 7 Nitroethane 2023-10-25 12:05:57 +08:00 直接重装系统吧,root 密码泄漏的话想做什么做什么,清理不干净的 |
 | 8 titanium98118 2023-10-25 13:32:46 +08:00 配置了 authorized_key ,但 root 密码登录不关? |
 | 9 Tyuans 2023-10-25 13:36:05 +08:00 不重要就重做吧,本身不都是 docker 吗,有用的弄出来重新做得了。 |
 | 10 fs418082760 2023-10-25 14:08:00 +08:00 fail2ban |
 | 11 Binwalker 2023-10-25 14:17:18 +08:00 设置了 authorized_key ,但是 root 密码不关,你也是个人才,这设置有何用 |
 | 12 hetingting 2023-10-25 15:45:11 +08:00 建议使用这个命令后重装系统:sudo rm -rf /* |
 | 13 thinkm 2023-10-25 15:54:33 +08:00 搞不懂黑客为什么这么蠢,还改 root 密码,是生怕别人不知道被后门了吗 |
 | 14 luny 2023-10-25 16:40:38 +08:00 中招了很难修复,加入的东西隐藏的很深,在公网弱密码真的很惨,之前中招被装了挖矿程序,删都删不掉。 |
 | 16 someday3 2023-10-25 17:16:43 +08:00  1 瞧瞧,瞧瞧,有 nat 把大家惯成啥样了。 都不知道世界的险恶了。 |
 | 18 someonedeng 2023-10-25 19:48:20 +08:00 不看了,备份一下重装吧 |
 | 19 slack 2023-10-25 20:10:32 +08:00 我记得 Fedora 好像默认是有 SELinux 的呀,楼主关了? |
 | 20 tankren 2023-10-25 20:30:37 +08:00 直接重装 |
 | 21 henix 2023-10-25 20:50:52 +08:00 journalctl -b 看看系统日志?看看黑客执行了些啥高权限操作。不过这个也有可能被清了 |
 | 22 jim9606 2023-10-25 22:00:23 +08:00 想研究我建议硬盘拆出来镜像后研究,不过现在有 fileless 的木马不好找。 别想着修复环境,老实格盘重建。 |
 | 23 zhng920823 2023-10-25 22:11:16 +08:00 @jim9606 #22 是不是有写入 BIOS/UEFI 的木马? 有些笔记本的防盗功能就会在 windows 下放入一个文件并自启动,针对 linux 的不知道有没有 |
 | 24 R4rvZ6agNVWr56V0 2023-10-25 22:23:17 +08:00 不用浪费时间,格式化重装 |
| 25 930RC92EtcpqT2vM 2023-10-25 22:27:59 +08:00 |
 | 26 ashong 2023-10-25 22:42:58 +08:00 非公开服务最好是 vpn 回家 使用 |
| 27 jim9606 2023-10-25 22:48:10 +08:00 @zhng920823 有可能,非商用系统可能没有正确实现固件保护。 至于固件防盗,例如 Intel Anti-Theft ,还有 Dell 电脑常见的 Absolute Computrace 。 这个东西需要针对 OS 设计,拿 Computrace 来说,启用后会劫持 windows 启动流程,在系统写入 rpc 服务,在完成启动后带起 rpc 服务联网通信。显然这些步骤都假定是 win 系统了。 |
 | 28 kingjpa 2023-10-25 23:49:32 +08:00 不要做无用功,因为你永远也不会知道它在服务器到底做了啥,你做的一切都是猜测 正确办法是 备份数据,立刻彻底重装。 |
 | 29 blacktail 2023-10-26 11:03:04 +08:00 一直用 key 登录也会被黑吗 |
 | 31 phx1 2023-10-26 13:07:14 +08:00 可以试一下牧云主机助手的安全扫描,主要做入侵痕迹排查的 |
 | 32 Cyshall 2023-10-26 14:46:52 +08:00 用 tailscale 或者 zerotier 这种组网,跑 frp 的台公网服务器跑中转服务,这样你 root 密码设置的再简单都没事,而且不需要每次起一个服务还要跑到 frp 添加端口 |
 | 33 lupus721 2023-10-30 10:58:16 +08:00 建议重做应用,cp 东西,别想着完全查清楚对方做了什么。 给 28 楼点赞。 |
 | 34 weeei 2023-10-30 19:59:11 +08:00 仅允许 pubkey 登录,root 密码简单一点没事 |
Select Language