V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
findwho
V2EX  ›  站长

服务器被攻击,请大佬指点一二

  •  
  •   findwho · 2023-12-19 12:29:11 +08:00 · 1794 次点击
    这是一个创建于 374 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的一台服务器被 ban 了,搞不清楚哪里出现的问题,然后再 docker image 下发现这几个我都不知道干嘛的 image ,肯定不是我装的。而且这个应该是第二次被装了。我搞不清楚哪里出了问题。之前我手动删了一次。

    ssh 用的密钥登陆的 就安装了 x-ui ,vpn,frp 等常用应用,没装其他东西。

    traffmonetizer/cli_v2 latest 8c010a9dea88 4 months ago 29.2MB containrrr/watchtower latest f847e1adb570 10 months ago 14.6MB fazalfarhan01/peer2profit latest cfb01c2ddbb2 2 years ago 132MB

    第 1 条附言  ·  2023-12-19 13:13:30 +08:00

    发现我的登陆证书都被换掉了 .ssh/authorized_keys 都变成他自己的key了。。。

    第 2 条附言  ·  2023-12-19 14:52:19 +08:00
    发现根目录下一堆这个东西,异常的。
    ➜ .configrc5 ll -al
    total 24K
    drwxr-xr-x 4 root root 4.0K Dec 19 08:16 .
    drwx------ 12 root root 4.0K Dec 19 14:48 ..
    drwxr-xr-x 2 root root 4.0K Dec 19 12:16 a
    drwxr-xr-x 2 root root 4.0K Dec 19 12:16 b
    -rw-r--r-- 1 root root 251 Dec 19 08:16 cron.d
    -rw-r--r-- 1 root root 17 Dec 19 08:16 dir2.dir
    ➜ .configrc5 more cron.d
    5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
    @reboot /root/.configrc5/a/upd>/dev/null 2>&1
    5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
    @reboot /root/.configrc5/b/sync>/dev/null 2>&1
    0 0 */3 * * /tmp/.X291-unix/.rsync/c/aptitude>/dev/null 2>&1
    8 条回复    2023-12-19 15:20:44 +08:00
    adoal
        1
    adoal  
       2023-12-19 13:16:41 +08:00
    某个服务被爆栈溢出或者逃逸,写文件了……

    服务不应该用交互登录的帐号来跑。
    x86
        2
    x86  
       2023-12-19 13:18:03 +08:00
    拿你服务区当梯子或中转了,输入 x-ui 可以查看面板信息,登入进去瞅瞅都配置了啥
    findwho
        3
    findwho  
    OP
       2023-12-19 13:25:27 +08:00
    @adoal 我不太清楚,感觉 vps 被人登陆了一样。不然没法解释.ssh/authorized_keys 都换成他的了
    @x86 x-ui 进去看账号都是我自己配置的,没有多的。
    traffmonetizer/cli_v2
    containrrr/watchtower
    fazalfarhan01/peer2profit
    这几个东西都不知道怎么被装上去的,而且这台 vps 不是第一次装这几个东西。
    adoal
        4
    adoal  
       2023-12-19 14:13:24 +08:00
    @findwho 看来你不懂我说的什么意思。具体解释一下吧,比如你用 findwho 这个帐号登录了,然后同一个帐号下载某个 web 服务的软件(就先假设是 x-ui 吧),用这个帐号安装软件,再用这个帐号启动软件,那么软件 x-ui 运行时的用户身份就是 findwho ,那么帐号 findwho 能做的操作,x-ui 这个程序都能做。如果你装的这个 x-ui 的版本有代码漏洞,又没及时更新修补,或者有配置上的漏洞,那么别人有可能通过远程 web 访问就让它执行任意操作,这时别人就可以指挥 x-ui 在 findwho 的家目录里肆意妄为,包括但不限于改动.ssh/authorized_keys 文件,甚至可以改动安好的 x-ui 程序,在里面埋上更隐蔽的木马。一个合理的办法是,用专门的服务帐号来启动 x-ui ,并且要写 systemd unit 来启动,不要用能 login 的帐号,还要给这个帐号设置合理的 home 目录和 shell ,让它不能乱写入也不能登录。

    所以 Linux Standard Base 里的 Filesystem Hierarchy Standard 推荐了文件系统里不同路径配置不同权限做不同功能的建议,rpm/deb 等发行版打的包也会在安装时为后台服务创建专用的非交互帐号。
    Lekou
        5
    Lekou  
       2023-12-19 14:16:59 +08:00
    证书被换了,第一时间想到了 redis 。。
    findwho
        6
    findwho  
    OP
       2023-12-19 14:43:07 +08:00
    @adoal 好的,非常感谢。向我这种情况该怎么查。目前就这两个发现。
    其实刚登陆 vps 的时候,发现 cpu 占用很高,某个异常应用占的,然后我直接 kill 了,没注意路径。
    hefish
        7
    hefish  
       2023-12-19 14:54:03 +08:00
    x-ui 有好多漏洞的。我自己不敢用。
    yeqiling
        8
    yeqiling  
       2023-12-19 15:20:44 +08:00 via Android
    楼主这是被弱口令爆破了,我前两天轻量也遇到了这个问题,占用较高是因为有 kswapd0 进程在挖矿。可以按照网络上的操作修复该问题,清理定时任务,移除.ssh ,修改密码等。另外建议别用一键脚本,自己搭建好一些。https://zhuanlan.zhihu.com/p/465487828
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2566 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 04:18 · PVG 12:18 · LAX 20:18 · JFK 23:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.