- 主题:服务器被黑了,被黑客装了挖矿的程序
我有台机器上面给学生开的账号,用了简单密码被入侵装了挖矿的程序。
不过好处是脚本自动入侵,都没尝试sudo,所以影响可控,
用dpkg检查所有安装包的完整性,然后找出被替换的地方稍作分析就隔离掉了。
关键还是禁用密码登录,慎重发放sudo权限。
【 在 l234567890 的大作中提到: 】
: 对于这种情况大家一般怎么处理
: 有没有什么SOP
: 谢谢
: ...................
--
修改:lvsoft FROM 114.222.220.*
FROM 114.222.220.*
dpkg确保现有系统的一致性,然后再检查看有没有埋雷的地方。
我那次运气不错,它的入侵脚本被我翻到了。所以我比较笃定清理干净了。
其实也无所谓,那台机器也是搞了玩的,也不是我的关键系统。
我的系统都是默认禁用密码登陆的。
查了下当初我还写了个记录,这里有细节:
https://www.bilibili.com/read/cv11434424
看了下我记错了,那台机器也是默认禁用密码登陆的。所以这台怎么被入侵的就有点奇怪了。
估计是学生自己的机器被入侵了,然后从他的机器跳板到这里进来的。
后来我简单清理之后重置了学生的key,后面就消停了。
【 在 DreamDreams 的大作中提到: 】
: 如果不是替换,是新增的话,dpkg就查不出来了。
: 禁用密码登录是王道,再加上fail2ban
:
--
修改:lvsoft FROM 114.222.221.*
FROM 114.222.221.*
我这里给每个学生单开账号,这个脚本又没获得root,所以很容易确认来源。
但我可以100%的肯定不是学生主动干的。
【 在 aosp 的大作中提到: 】
: 就是学生干的
--
FROM 114.222.221.*
这个不会的,这台机器上sudo都不需要密码,
根本不需要提权。
这个脚本也压根就没有突破普通用户账号。
我估计是学生自己机器的密码是123456,然后就没有然后了。。。
【 在 DreamDreams 的大作中提到: 】
: 说不定是提权漏洞
:
--
修改:lvsoft FROM 114.222.221.*
FROM 114.222.221.*