对于这种情况大家一般怎么处理

有没有什么SOP

谢谢
--
FROM 218.28.195.*

我有台机器上面给学生开的账号，用了简单密码被入侵装了挖矿的程序。
不过好处是脚本自动入侵，都没尝试sudo，所以影响可控，
用dpkg检查所有安装包的完整性，然后找出被替换的地方稍作分析就隔离掉了。

关键还是禁用密码登录，慎重发放sudo权限。
【 在 l234567890 的大作中提到: 】
: 对于这种情况大家一般怎么处理
: 有没有什么SOP
: 谢谢
: ...................
--
修改:lvsoft FROM 114.222.220.*
FROM 114.222.220.*

如果不是替换，是新增的话，dpkg就查不出来了。

禁用密码登录是王道，再加上fail2ban

【 在 lvsoft 的大作中提到: 】
: 标  题: Re: 服务器被黑了，被黑客装了挖矿的程序
: 发信站: 水木社区 (Thu Sep 29 20:23:29 2022), 站内
:
: 我有台机器上面给学生开的账号，用了简单密码被入侵装了挖矿的程序。
: 不过好处是脚本自动入侵，都没尝试sudo，所以影响可控，
: 用dpkg检查所有安装包的完整性，然后找出被替换的地方稍作分析就隔离掉了。
:
: 关键还是禁用密码登录，慎重发放sudo权限。
: 【 在 l234567890 的大作中提到: 】
: : 对于这种情况大家一般怎么处理
: : 有没有什么SOP
: : 谢谢
: : ...................
:
: --
: ※ 修改:·lvsoft 于 Sep 29 20:27:02 2022 修改本文·[FROM: 114.222.220.*]
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 114.222.220.*]
--
修改:lvsoft FROM 114.222.220.*
FROM 124.207.188.194

dpkg确保现有系统的一致性，然后再检查看有没有埋雷的地方。
我那次运气不错，它的入侵脚本被我翻到了。所以我比较笃定清理干净了。
其实也无所谓，那台机器也是搞了玩的，也不是我的关键系统。
我的系统都是默认禁用密码登陆的。

查了下当初我还写了个记录，这里有细节：
https://www.bilibili.com/read/cv11434424
看了下我记错了，那台机器也是默认禁用密码登陆的。所以这台怎么被入侵的就有点奇怪了。
估计是学生自己的机器被入侵了，然后从他的机器跳板到这里进来的。
后来我简单清理之后重置了学生的key，后面就消停了。

【 在 DreamDreams 的大作中提到: 】
: 如果不是替换，是新增的话，dpkg就查不出来了。
: 禁用密码登录是王道，再加上fail2ban
:
--
修改:lvsoft FROM 114.222.221.*
FROM 114.222.221.*

我这里给每个学生单开账号，这个脚本又没获得root，所以很容易确认来源。

但我可以100%的肯定不是学生主动干的。

【 在 aosp 的大作中提到: 】
: 就是学生干的
--
FROM 114.222.221.*