这是一个创建于 2824 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先服务器被重启,重启后有这么条日志
1480 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event2 (Power Button)
1481 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event1 (Power Button)
1482 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event0 (Sleep Button)
1483 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on 0.0.0.0 port xxx.
1484 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on :: port xxx
1485 Feb 15 16:34:24 C3Server login[1357]: pam_unix(login:session): session opened for user naike by LOGIN(uid=0)
1486 Feb 15 16:34:25 C3Server systemd-logind[771]: New session 1 of user root.
1487 Feb 15 16:34:25 C3Server systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
1488 Feb 15 16:34:25 C3Server login[1592]: ROOT LOGIN on '/dev/tty1'
然后 /etc/passwd 里多了一个
naike:x:0:0::/home/root:
两小时候被发现机器重启,但是数据看起来也没丢
我的疑问是:
从 tty1 登录,是不是只能物理连接?比如机房管理员直接登录
1480 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event2 (Power Button)
1481 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event1 (Power Button)
1482 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event0 (Sleep Button)
1483 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on 0.0.0.0 port xxx.
1484 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on :: port xxx
1485 Feb 15 16:34:24 C3Server login[1357]: pam_unix(login:session): session opened for user naike by LOGIN(uid=0)
1486 Feb 15 16:34:25 C3Server systemd-logind[771]: New session 1 of user root.
1487 Feb 15 16:34:25 C3Server systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
1488 Feb 15 16:34:25 C3Server login[1592]: ROOT LOGIN on '/dev/tty1'
然后 /etc/passwd 里多了一个
naike:x:0:0::/home/root:
两小时候被发现机器重启,但是数据看起来也没丢
我的疑问是:
从 tty1 登录,是不是只能物理连接?比如机房管理员直接登录
第 1 条附言 · 2017-02-15 21:22:04 +08:00
确定是被黑了,服务器开始不停往外发包
被黑的原因还没找到
被黑的原因还没找到
第 2 条附言 · 2017-02-15 21:22:58 +08:00
应发是中了这个 Linux.BackDoor.Gates.5 木马
 |
1
techmoe 2017-02-15 19:54:10 +08:00 via Android
感觉被插后门的面大
快备份好数据把那个账户删掉吧 |
 |
2
kuretru 2017-02-15 19:55:43 +08:00 via iPhone
在 tty 登陆界面按 Ctrl Alt Del 即可重启,这个一看就是重启进入单用户模式新建了一个用户,并且指定这个用户 uid 为 0 ,这个用户即可获得 root 的所有权限
|
|
3
kuretru 2017-02-15 19:58:00 +08:00 via iPhone
赶紧看看.ssh 下有没有新增 公钥 history 看看他登陆后做了什么
|
 |
11
bravecarrot 2017-02-16 11:02:50 +08:00 via iPhone
查看你的 sshd 程序还是不是原来那个;
不要用该机器登录其他机器了。 至于怎么被黑的,根据你开放点服务排查呗 |
 |
12
hadoop OP @bravecarrot 确定很多二进制文件都被替换了,查了下中了 Linux.BackDoor.Gates.5 木马。重装系统,现在看起来 impi 泄露的可能性大
|
 |
13
DeltaTriangle 2017-03-18 02:25:55 +08:00
@hadoop 我去,我已经被这个 naike 骚扰两次了,第一次我感觉有异常,但是直接重装了
重装后,改了密码。 3 天后,第二次,又被 hack 了 同样也是 tty1 登陆的,并且在 tty1 登陆前有一次物理重启 最后你这个怎么解决的呢? |
|
14
hadoop OP @DeltaTriangle 确定肯定是被黑了。具体原因说实话我没查出来。目前猜测是我的 impi 密码泄露了。重装之后改了 impi 的密码,到现在还好
你的现象跟我当时很像,在被黑之前都有一次物理重启。你看你的机器有没有一直对外发包。这个木马会替换很多二进制 bin 比如 ssh 啥的,看起来只有重装一条路 |
|
15
DeltaTriangle 2017-03-21 21:48:06 +08:00
@hadoop 第三次我又重装了,这次直接叫机房把 IPMI 禁了。目前来说,还没出问题,希望是解决了。
黑的原因和过程,我看了下 bash 日志和 auth 日志,猜测大致是这样的: 1. hacker 获取了 IPMI 密码,直接 console 操作。后台日志提示是 /dev/tty1 的登陆,意味着不是 ssh 被黑的; 2. hacker 直接传入 Ctrl+Alt+Del ,强制重启。系统启动时间是 10:42 ,重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着, hacker 可能进入了单用户模式,直接手动建了账号 naike ,并置 uid=0 ; 3. hacker 用 naike 账号登陆,并 su 提权,执行了操作,用 wget 下载了一个木马文件,并执行。 这个木马实际的作用,我看了下,应该是给一个境外 porn 网站做国内分流的,有点类似 cdn 那种。 感觉这个 hacker 也不是那种特别牛逼的,最大的线索应该就是登陆是 /dev/tty1 这个上面,这只能说明两种大的可能,第一就是 IPMI 密码泄露了,第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。 IPMI 被泄露这个,说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件,是不是抄送给了除了你以外的其他人(比如客服经理啥的),所以,你懂的。。。。。。。 |
|
16
hadoop OP @DeltaTriangle 发给我的 impi 密码是一个随机密码,我只登录过一次,也没改过,很难是被破解的。
我跟主机商了解到,给我们这种用户的 impi 只是一个 “观察者”权限的帐号,整个机房的 impi 系统还有更高权限的用户可以随便看你的 impi 内容。 so 。。 |
 |
17
buy2top 2019-08-08 11:27:09 +08:00
楼主我也碰到一样的问题了,是 anliyun hk 的机器,而且后来对方用了好几个 ip 来登录我的机器,还好对方新建账号才一天多点时间。我给报工单阿里云的售后感觉不行啊。我打算花点时间反撩对方,反正他的日志都没来得及清我都给保留了,实在有问题我可以报案。
|
Select Language