$V2EX
Solana
Give SOL to Copy Address
使用 SOL 向 isbase 打赏,数额会 100% 进入 isbase 的钱包。
首页 注册 登录
isbase

isbase

V2EX 第 64727 号会员,加入于 2014-06-11 01:13:39 +08:00
今日活跃度排名 1837
PRO
PRO 会员
根据 isbase 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
isbase 最近回复了
13 小时 39 分钟前
回复了 aozrobot 创建的主题 宽带症候群 礼貌问一下大家有必要升级千兆吗
500 Mbps 是一个折中的选择。

我原来也是 1000 Mbps ,一路从 100 Mbps 升级到了 1000 Mbps 。后来用了一段时间,降到了 500 Mbps ,现在已经用了好几年了。

我觉得 500 Mbps 在大部分情况下是足够用的,除了偶尔 PT 下载的时候确实有点慢,但问题也不大啊。

另外,很多这种代理服务,包括常规的这种 CDN 服务,能跑满千兆的不多。能跑个两三百兆,甚至五六百兆,就已经非常牛了。
1 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@14night 本地配置好 SSH 配置,不管是密码还是密钥,反正配置好。然后在 Cursor 里面跟 AI 说:这台 VPS 怀疑被入侵了,ssh { host 别名}上去排查一下。
1 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@busier 没有拿到控制面板权限,但是暴力扫描到了 宿主机的 vnc 端口,进而连到了我的 vps ,密码也被爆破了
1 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@NoCash 我是用 cursor ,大部分在本地运行的 agent 工具都可以实现类似效果,例如 codex / claude code ,直接让 ai ssh 上去就行了
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@lemonda
@terence4444 是个很冷门小众的服务商。普通用户正常不会用的
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@ShinichiYao
@deepbytes
@hronro

调查结论:scanner 用户来源分析
铁证:/.bash_history
攻击者通过 GRUB 修改内核启动参数 init=/bin/bash 获得了无需认证的 root shell ,在这个 shell 中执行了以下 4 条命令(记录在 /.bash_history 中):

mount -o remount,rw /
adduser scanner
usermod -aG sudo scanner
exec /sbin/init
这就是 scanner 用户的确切创建方式。

完整攻击时间线( 2026 年 2 月 19 日)
时间 (UTC) 事件
17:16:00 攻击者在 tty1 (物理/KVM 控制台)尝试登录,用户名未知,登录失败
17:16:06 系统收到 SIGINT ( Ctrl+Alt+Del ),开始重启
17:17:04 新内核启动,内核命令行包含 init=/bin/bash
~17:17:04-10 攻击者在 root shell 中执行上述 4 条命令创建 scanner 用户
17:17:10 exec /sbin/init 后 systemd 启动,getty 在 tty1 显示登录提示
17:17:13 scanner 在 tty1 成功登录
17:17:57 scanner 使用 sudo 编辑 /etc/ssh/sshd_config (添加端口 22 )
17:19:00 scanner 使用 sudo 重启 SSH (现在同时监听端口 22 和 16922 )
17:19:09 远程 IP 212.192.31.88 (德国)通过 SSH 密码登录 scanner
19:41-19:44 IP 144.31.184.1 发起多次自动化 SSH 会话(部署工具)
关键证据详解
1. 内核启动参数

syslog 中记录的新内核启动命令行:

BOOT_IMAGE=/boot/vmlinuz-6.8.0-100-generic root=UUID=... rw net.ifnames=0 biosdevname=0 init=/bin/bash
init=/bin/bash 不在 GRUB 默认配置中(/etc/default/grub 中的 GRUB_CMDLINE_LINUX 只有 net.ifnames=0 biosdevname=0 ),这是攻击者在 GRUB 引导菜单中手动临时添加的。

2. 为什么日志中没有 useradd 记录

因为 init=/bin/bash 启动时,系统只运行了一个 bash shell ,syslog/rsyslog/auth.log 都没有启动。所以 adduser scanner 的操作完全没有被 auth.log 记录。这也是为什么你在所有日志中都找不到用户创建记录。

3. GRUB 没有密码保护

/etc/grub.d/ 中没有设置任何密码。GRUB_TIMEOUT=0 且 GRUB_TIMEOUT_STYLE=hidden ,但攻击者在启动时按住 Shift/Esc 即可进入 GRUB 编辑界面。

4. VPS 上根本没有安装 VNC

服务商邮件中提到的 "弱 VNC 密码" 理论是完全不成立的——系统上没有安装任何 VNC 软件包,没有 VNC 服务,没有 VNC 密码文件。

5. 攻击前无 SSH 入侵迹象

auth.log.4.gz ( Feb 8-14 )和 auth.log.3.gz 中 Feb 19 重启前的记录仅有正常的 CRON 活动,没有任何成功的 SSH 登录。

结论:
scanner 用户是通过 KVM/VNC 控制台访问 + GRUB init=/bin/bash 技术创建的。

攻击方式有以下特征:

不可能 通过 SSH 或任何网络服务远程实现
必须 能够在 GRUB 引导阶段与控制台交互(即需要 KVM/VNC 访问权限)
攻击者需要:看到 GRUB 菜单 -> 按 'e' 编辑 -> 添加 init=/bin/bash -> 按 F10/Ctrl+X 启动


---
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@isbase 典型的 ai 幻觉害死人
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@loveqianool 拉黑吧。 之前就是被这个回答坑了才设置 99 。 不过我用的是 gpt
6 天前
回复了 tracymcladdy 创建的主题 Apple TV 如何看 apple tv 官方的 F1 直播呀
它没有中文解说,所以有点鸡肋,虽然画质很好。
8 天前
回复了 anyChris 创建的主题 Claude Code Claude Code 用中转 API 有没有坑?想听听大家的实际体验
没坑是不正常的
» isbase 创建的更多回复
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   2676 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 19ms · UTC 04:35 · PVG 12:35 · LAX 21:35 · JFK 00:35
♥ Do have faith in what you're doing.