V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lsylsy2
V2EX  ›  信息安全

VPS 中毒了,Ebury,据说传播范围很大

  •  
  •   lsylsy2 · 2014-03-23 21:19:17 +08:00 · 5123 次点击
    这是一个创建于 3896 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.cert-bund.de/ebury-faq
    侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
    在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
    介绍里还有一句很重要:
    The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
    29 条回复    1970-01-01 08:00:00 +08:00
    ScotGu
        1
    ScotGu  
       2014-03-23 21:36:17 +08:00
    哇~~~ 赶紧检查了一下。。。
    yylzcom
        2
    yylzcom  
       2014-03-23 21:44:41 +08:00
    感谢提醒,昨天看到新闻了,没注意。刚才通通排查了一遍,没有发现被感染的迹象。

    所有服务器都是单独密钥,openssh换成了dropbear,端口号都改过
    initialdp
        3
    initialdp  
       2014-03-23 21:47:01 +08:00
    还好,没中毒。
    binux
        4
    binux  
       2014-03-23 21:56:00 +08:00
    有一台中毒了,其他的没事,按照传播途径来说,所有登录都是用同一个密钥,而且禁用了密码登录
    后台没有用cPanel,系统和软件是官方源安装的。。不知道怎么中的。。

    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status
    0x000005a5 0 100 666 3429836 0
    hadoop
        5
    hadoop  
       2014-03-23 22:10:21 +08:00
    @binux 中途途径? cpanel?
    cielpy
        6
    cielpy  
       2014-03-23 22:14:25 +08:00
    key shmid owner perms bytes nattch status
    0x00000000 0 root 600 524288 4 dest
    没中。有预防措施吗。
    lyragosa
        7
    lyragosa  
       2014-03-23 22:22:38 +08:00
    ~ ipcs -m

    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status

    空的 表示没问题吗?

    我的网站都是手动配置的环境 ,从不用控制面板。
    xd547
        8
    xd547  
       2014-03-23 22:33:33 +08:00
    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status

    同问空的是没有问题吗?
    niseter
        9
    niseter  
       2014-03-23 22:54:23 +08:00
    同问什么情况是正常的?
    binux
        10
    binux  
       2014-03-23 23:10:08 +08:00
    @hadoop 我所有机器都只从同一台机器登录,除了 hostigation 的面板没有装面板
    darksheen
        11
    darksheen  
       2014-03-23 23:22:56 +08:00
    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status
    0x00000000 0 root 600 524288 7 dest
    0x000005ff 32769 ntp 666 3301428 0
    0x000005dc 65538 ntp 666 2870144 0
    0x000006c2 98307 tcpdump 666 2822960 0

    难道我中招了?
    ericls
        12
    ericls  
       2014-03-23 23:37:51 +08:00
    还好 都没中
    从来不开密码登陆。。
    lsylsy2
        13
    lsylsy2  
    OP
       2014-03-23 23:59:39 +08:00
    @lyragosa
    @xd547
    @xd547
    @niseter
    空的就是安全的,只要没这个,具体可以点原文链接进去看
    预防方法……不知道,平时管理好SSH密钥吧,按照上面的换dropbear等其他的也许也是个办法
    lsylsy2
        14
    lsylsy2  
    OP
       2014-03-24 00:00:26 +08:00
    @binux 也许是0day吧……
    sitin
        15
    sitin  
       2014-03-24 00:48:56 +08:00
    还好,安全。
    yanwen
        16
    yanwen  
       2014-03-24 01:28:40 +08:00
    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status
    0x00000000 294912 root 600 524288 7 dest

    @binux
    @lyragosa

    这样中了么?
    yylzcom
        17
    yylzcom  
       2014-03-24 01:41:19 +08:00
    @yanwen

    大于26k 且666权限的基本就是中招了,你的是600,不符合
    yanwen
        18
    yanwen  
       2014-03-24 01:56:13 +08:00
    @yylzcom 谢谢。。
    2ex
        19
    2ex  
       2014-03-24 08:07:16 +08:00 via Android
    这个要回去查查.服务器太多了
    anheiyouxia
        20
    anheiyouxia  
       2014-03-24 08:43:01 +08:00
    谢谢提醒,还好没中,一直都是改了端口,没禁用root和密码登陆也没事,我是不是应该继续侥幸下去?
    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status
    TankyWoo
        21
    TankyWoo  
       2014-03-24 10:20:40 +08:00
    没中,我ssh只允许公私钥登录
    hadoop
        22
    hadoop  
       2014-03-24 10:35:33 +08:00
    我一堆600权限的 有没有问题?

    ------ Shared Memory Segments --------
    key shmid owner perms bytes nattch status
    0x00000000 1731919872 azureuser 600 196608 2 dest
    0x00000000 1733525505 azureuser 600 2579992 1 dest
    0x00000000 1852211202 azureuser 600 2579992 1 dest
    0x00000000 1852178435 azureuser 600 998400 2 dest
    0x00000000 1734082564 azureuser 600 2725872 1 dest
    Actrace
        23
    Actrace  
       2014-03-24 10:37:10 +08:00
    独立服务器路过.
    icedx
        24
    icedx  
       2014-03-24 11:29:28 +08:00
    还好,没中毒.
    wulin
        25
    wulin  
       2014-03-24 11:36:14 +08:00
    端口改了,233333
    lsylsy2
        26
    lsylsy2  
    OP
       2014-03-24 14:11:01 +08:00
    @hadoop 不是666就没有问题 以及用户是azureuser,你要是不是azure那就另说……
    hadoop
        27
    hadoop  
       2014-03-24 14:19:17 +08:00
    @lsylsy2 thx!
    onemoo
        28
    onemoo  
       2014-03-25 00:36:54 +08:00
    谢谢楼主提醒
    赶紧检查了一下
    应该没有问题
    bitbegin
        29
    bitbegin  
       2014-03-25 23:36:52 +08:00 via Android
    mark
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3454 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 10:30 · PVG 18:30 · LAX 02:30 · JFK 05:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.