下午发现服务器风扇一直转,然后 top 看了下,发现一个叫'systemdd-dev'的程序把 cpu 跑满了。一开始以为是 systemd 相关的进程,查了下 google 发现没有结果,然后意识到估计是挖矿程序之类的东西。看了下 crontab 果然多了个不认识的任务。然后查各种日志,发现都被删了,不确定对方是怎么进来的。我们服务器没有公网 IP ,只开了 frp 穿透,不确定是不是 frp 的漏洞导致的。而且看了用于穿透的云主机也没看到什么特别的日志,就比较蛋疼。唯一发现的东西就是恶意程序的 FD 连接了一个文件名'CVE-2021-4034'。现在不确定对方到底怎么入侵的,只能先把 frp 关了。想问问大家有没有什么排查思路。
1
wd 2022-03-15 19:10:38 +08:00 via iPhone
这种一般都需要重装系统了
|
2
cjpjxjx 2022-03-15 19:11:50 +08:00 via iPhone
frp 穿透,然后把密码设置弱密码了吧
|
3
xmlf 2022-03-15 19:19:25 +08:00 via Android
首先你是什么业务穿透的?如果只是 web ,影响不会这么严重吧
|
4
cxtrinityy 2022-03-15 20:00:43 +08:00
根据 frp 、穿透的服务, 查查对应版本有没有漏洞允许别人建立 shell 的
CVE-2021-4034 这个查了下是个提权漏洞, 先把这个堵上, 没有提权的 shell 应该就没那么大伤害了 |
5
wtks1 2022-03-15 20:11:12 +08:00 via Android
是用 frp 直接把端口映射到公网去了?
|
6
DataSheep 2022-03-15 20:16:49 +08:00 via iPhone
看看鉴权 log 有没有惊喜
|
7
joyhub2140 2022-03-15 21:43:55 +08:00
很好奇,frp 设置密码登录验证嘛?
frp 这种基于 ssh 协议的,我都是第一时间禁止密码登录,只允许密钥的。 |
8
wjx0912 2022-03-16 18:13:47 +08:00
碰到相同的情况了,公司内部的 linux:linux 和 frp 都设置的较复杂的密码,除此之外都是 docker 没有入侵的可能性,结果还是被跑了木马。
我自己用的 0.39.0 ,官网下载的,放到 www.virustotal.com 几个引擎扫描都是木马。 下载了 frp 0.31 到 0.40 的几个版本,www.virustotal.com 测试基本都是木马。 另外腾讯云两台 frp 跳板( debian 系统,只跳板用,干净到连 helloworld 都没有)也被挖矿了 frp 代码本身应该没问题,我自己编译的 frp 放到 virustotal 扫描正常的,盲猜 github ci 出来的二进制有问题 |
9
findex 2022-04-10 22:23:56 +08:00
@wjx0912 github ci 里面或带有其他人的 sdk 。记得某程序员曾经说过用某 github ci 编译 apk ,差点把我气死了。那个 ci 套件里面 docker 装的 sdk 全是木马。还是要自己搭建内网 runner 。
|
10
WAHSUN 2022-05-21 09:58:38 +08:00
我用的也是内网穿透,不过开启了 ssh 登陆,禁用了密码登陆!
|
11
SgtPepper 2022-05-23 16:21:40 +08:00
看的有点慌 我也有台云服务器再跑 frp 给 nas 用的
nas 和云服务器我都开了 SSH ,但是端口不是默认的 22 ,我给改了。 应该问题就不大了吧? |
14
xhswzy 2022-06-16 10:08:07 +08:00
瑟瑟发抖,现在最新的 0.43 ,作者放的 releases 还会不会有这个问题?
|