半夜给我发个什么鬼安全告警的短信,竟然直接报 frps 是病毒了。
为了谨慎,我把我服务器上的 frps 和 github 上同版本的 frps 文件的 MD5 比了一下,都是一模一样的。
可以确定不是被窜改过的病毒文件。
为什么说“越”?之前一直给我报服务器上发现了挖矿程序,进程名叫什么 yespower ,我密码都用了很强的,而且 ssh 端口也改了,按道理不可能被爆破的。我一直怀疑是阿里云自己植入的挖矿程序,因为它弹出了一个有挖矿程序的安全告警,让你知道有挖矿程序,但是你要查杀,得要买他们的安全服务包。
1
Zhouisme 2021-11-17 03:27:59 +08:00 via Android
把阿里监控程序删了吧
|
2
wwbfred 2021-11-17 04:28:09 +08:00
再强的密码也是不安全的,建议用密钥,实在不行也要开防爆破。
尤其是你后面提的那个 yespower ,有可能自带保护机制的,比如登录 SSH 自动关闭,让你发现不了。 |
3
selfcreditgiving OP @wwbfred yespower 我每次都是手动 kill 掉了,不然 cpu 100%,之前杀完过一段时间又有了, 最近已经很久没有出现了
|
4
norland 2021-11-17 09:22:13 +08:00
看盘内电影投屏,每十几分钟卡住,下载速度几十 K ,,,,,
|
5
goodryb 2021-11-17 09:22:15 +08:00
“我密码都用了很强的,而且 ssh 端口也改了,按道理不可能被爆破的。” 为什么会有这种奇怪的认识,ssh 外网登录起码得用密钥且关闭密码登录
另外都报挖矿程序了,手动 kill 只是治标,根治得好好排查,或者干脆重装系统 |
6
imydou 2021-11-17 10:08:56 +08:00
windows defender 也会杀 frp ,已经把 frp 目录加入白名单
|
7
jackmod 2021-11-17 10:10:12 +08:00 via Android
这机器已经凉了,重装吧。
ssh 改用普通用户强密码,平时 sudo 提权。 禁 ssh 密码,仅密钥登入。 开启防火墙,只开放业务端口和 vpn 端口。 ssh 不对外开放,用 vpn 连入。 |
8
40EaE5uJO3Xt1VVa 2021-11-17 11:46:02 +08:00
弄个堡垒机,所有的 VPS 仅允许堡垒机的 IP 登入。
|
9
byte10 2021-11-17 14:15:48 +08:00
|
10
gadfly3173 2021-11-17 15:58:14 +08:00
@selfcreditgiving #3 阿里云这个只是自动处理要付费,但是警告里是给了你启动命令的,你应该根据命令去排查被感染的文件。
|
11
gadfly3173 2021-11-17 16:00:24 +08:00
之前 yapi 的漏洞也导致我的服务器被黑了,我的处理就是根据启动命令找到被注入的文件,然后排查 mongodb 里记录的任务并删除,还有关掉 yapi 的注册功能。
|
13
selfcreditgiving OP 现在是防外贼?还是防内贼?的问题。就看云服务器厂商底线在哪里了。
说明一下,这个服务器公司有挺多业务数据正在上面跑的,如果被人恶意入侵,被勒索比特币应该是他们优先考虑的。而不是只单单植入一个挖矿程序。 @wwbfred @goodryb @jackmod @yanzhiling2001 @byte10 @gadfly3173 |
14
wwbfred 2021-11-17 19:38:40 +08:00
@selfcreditgiving 我们只是提出我们的想法,如果我们遇到这个问题怎么做。我只能说,如果这是公司的服务器,我打死也不敢给公网开密码。
你的猜测无法证伪,但同样也无法证明。你认为这是对的,那就是对的,你无需任何操作,骂服务商换服务商就好了。 |
15
wwbfred 2021-11-17 19:40:03 +08:00
@selfcreditgiving 另外如果这是公司的服务器,如果不是你一个人维护,你必须考虑内鬼的问题。
|
16
gadfly3173 2021-11-17 20:35:01 +08:00 via Android
@selfcreditgiving 事实上绝大多数的入侵都是爆破和脚本小子,很少会有针对性的对你的业务进行入侵,所以挖矿和肉鸡比比特币勒索常见的多得多。
|
17
byte10 2021-11-18 10:12:09 +08:00
@perfectar 百度一下 docker openvpn, ,你多参考几条,或者参考这个 https://registry.hub.docker.com/r/kylemanna/openvpn 非常的简单方便,另外看一下路由的设置,https://www.xxshell.com/1760.html ,因为这个 openvpn 连接后,所有的路由都走 vpn 会有问题,百度那个搜索总是有访问问题。。其他还好。
@selfcreditgiving 不用看云厂商的底线,机器都在别人手上的,还有啥需要你防的,你防得了吗?如果有大量的机器的,那确实需要内网的防火墙隔离看来。如果你自己玩的话,放心就好了,内网是安全的,都隔离开的。思考问题要从简单出发,用 vpn (连接 ssh )就是最好的方案,没有之一,记住是没有之一,你听话就好了。 |
18
neowong2005 2021-11-18 13:43:53 +08:00 via Android
@byte10 试试 wireguard
|
19
byte10 2021-11-18 14:14:22 +08:00
@neowong2005 好的,学习下 wireguard 。当前 openvpn 也挺方便,容器化部署,配置流程我也记录下来了,一般 2 分钟搞定。
|
20
wwbfred 2021-11-18 17:51:54 +08:00 via iPhone
结论来了,阿里云 ECS 服务被攻击了,植入挖矿程序。
|
21
wwbfred 2021-11-18 17:54:02 +08:00 via iPhone
本质是 ECS 默认 root ,和你的密码被试出来了。
|
22
selfcreditgiving OP |
23
wwbfred 2021-11-19 15:47:55 +08:00
|
24
byte10 2021-11-19 16:25:53 +08:00
@selfcreditgiving 不用的,openvpn 可以设置某些 ip 段经过路由。访问本地局域网或者互联网 可以选择不走 vpn 。一般 vpn 都支持设置路由的规则。
|
25
imnpcheng 2021-11-19 16:57:40 +08:00
与 ssh 密码强度貌似关系不大,说不准你其他服务的问题。比如 redis 在线上裸奔
|
26
imnpcheng 2021-11-19 16:58:31 +08:00
只开对外服务的端口,登陆采用 vpn
|