服务器被未知“naike”账户从 tty1 登录，可能是啥问题？

This topic created in 3378 days ago, the information mentioned may be changed or developed.

首先服务器被重启，重启后有这么条日志
1480 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event2 (Power Button)
1481 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event1 (Power Button)
1482 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event0 (Sleep Button)
1483 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on 0.0.0.0 port xxx.
1484 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on :: port xxx
1485 Feb 15 16:34:24 C3Server login[1357]: pam_unix(login:session): session opened for user naike by LOGIN(uid=0)
1486 Feb 15 16:34:25 C3Server systemd-logind[771]: New session 1 of user root.
1487 Feb 15 16:34:25 C3Server systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
1488 Feb 15 16:34:25 C3Server login[1592]: ROOT LOGIN on '/dev/tty1'

然后 /etc/passwd 里多了一个
naike:x:0:0::/home/root:

两小时候被发现机器重启，但是数据看起来也没丢

我的疑问是：
从 tty1 登录，是不是只能物理连接？比如机房管理员直接登录

Supplement 1 · Feb 15, 2017

确定是被黑了，服务器开始不停往外发包

被黑的原因还没找到

Supplement 2 · Feb 15, 2017

应发是中了这个 Linux.BackDoor.Gates.5 木马

c3server

Feb

Session

17 replies • 2019-08-08 11:27:09 +08:00

techmoe

Feb 15, 2017 via Android

感觉被插后门的面大
快备份好数据把那个账户删掉吧

kuretru

Feb 15, 2017 via iPhone

在 tty 登陆界面按 Ctrl Alt Del 即可重启，这个一看就是重启进入单用户模式新建了一个用户，并且指定这个用户 uid 为 0 ，这个用户即可获得 root 的所有权限

kuretru

Feb 15, 2017 via iPhone

赶紧看看.ssh 下有没有新增公钥 history 看看他登陆后做了什么

hadoop

Feb 15, 2017 via Android

@kuretru 这个需要接触到物理机器吗？机器托管在机房里的

hadoop

Feb 15, 2017 via Android

@kuretru 没有新增密钥， history 也没有异常，奇怪了

kuretru

Feb 15, 2017 via iPhone

@hadoop 如果是台独服的吧，多半是物理操作的

hadoop

Feb 15, 2017

@kuretru impi 如果被黑的话，能这么搞吗？我查了 impi 没有登录记录

hadoop

Feb 15, 2017

@kuretru 我想请教下，如果是物理服务器的话，是不是只有物理接触才会进 tty ？

kuretru

Feb 15, 2017

@hadoop #8 这个我不能确定，但是凭我的经验来看，应该是物理接触

hadoop

Feb 15, 2017

@kuretru 果然中了木马，不停的发包，跑满带宽。 md 只能去重装了。
可是还没查出来被黑的原因，不爽啊

bravecarrot

Feb 16, 2017 via iPhone

查看你的 sshd 程序还是不是原来那个；
不要用该机器登录其他机器了。
至于怎么被黑的，根据你开放点服务排查呗

hadoop

Feb 16, 2017

@bravecarrot 确定很多二进制文件都被替换了，查了下中了 Linux.BackDoor.Gates.5 木马。重装系统，现在看起来 impi 泄露的可能性大

DeltaTriangle

Mar 18, 2017

@hadoop 我去，我已经被这个 naike 骚扰两次了，第一次我感觉有异常，但是直接重装了
重装后，改了密码。 3 天后，第二次，又被 hack 了
同样也是 tty1 登陆的，并且在 tty1 登陆前有一次物理重启
最后你这个怎么解决的呢？

hadoop

Mar 19, 2017

@DeltaTriangle 确定肯定是被黑了。具体原因说实话我没查出来。目前猜测是我的 impi 密码泄露了。重装之后改了 impi 的密码，到现在还好

你的现象跟我当时很像，在被黑之前都有一次物理重启。你看你的机器有没有一直对外发包。这个木马会替换很多二进制 bin 比如 ssh 啥的，看起来只有重装一条路

DeltaTriangle

Mar 21, 2017

@hadoop 第三次我又重装了，这次直接叫机房把 IPMI 禁了。目前来说，还没出问题，希望是解决了。
黑的原因和过程，我看了下 bash 日志和 auth 日志，猜测大致是这样的：
1. hacker 获取了 IPMI 密码，直接 console 操作。后台日志提示是 /dev/tty1 的登陆，意味着不是 ssh 被黑的；
2. hacker 直接传入 Ctrl+Alt+Del ，强制重启。系统启动时间是 10:42 ，重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着， hacker 可能进入了单用户模式，直接手动建了账号 naike ，并置 uid=0 ；
3. hacker 用 naike 账号登陆，并 su 提权，执行了操作，用 wget 下载了一个木马文件，并执行。

这个木马实际的作用，我看了下，应该是给一个境外 porn 网站做国内分流的，有点类似 cdn 那种。
感觉这个 hacker 也不是那种特别牛逼的，最大的线索应该就是登陆是 /dev/tty1 这个上面，这只能说明两种大的可能，第一就是 IPMI 密码泄露了，第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。

IPMI 被泄露这个，说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件，是不是抄送给了除了你以外的其他人（比如客服经理啥的），所以，你懂的。。。。。。。

hadoop

Mar 22, 2017

@DeltaTriangle 发给我的 impi 密码是一个随机密码，我只登录过一次，也没改过，很难是被破解的。

我跟主机商了解到，给我们这种用户的 impi 只是一个 “观察者”权限的帐号，整个机房的 impi 系统还有更高权限的用户可以随便看你的 impi 内容。 so 。。

buy2top

Aug 8, 2019

楼主我也碰到一样的问题了，是 anliyun hk 的机器，而且后来对方用了好几个 ip 来登录我的机器，还好对方新建账号才一天多点时间。我给报工单阿里云的售后感觉不行啊。我打算花点时间反撩对方，反正他的日志都没来得及清我都给保留了，实在有问题我可以报案。