1

开发服务器因弱口令导致受到木马攻击

 8 months ago
source link: https://blog.csdn.net/renfufei/article/details/135595547
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

开发服务器因弱口令导致受到木马攻击

铁锚 已于 2024-01-15 10:57:52 修改

日期: 2023年12月06日
事件: 收到阿里云告警消息,被限制访问外部端口。

您的云服务器(*.*.*.*)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22222222222)的访问,阻断预计将在2023-12-07 05:56:56时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。感谢您对阿里云的支持。

登录不了服务器,因为原来的 SSH key 被擦除了。

从阿里云提供的控制台登录,进行操作。

发现 CPU 使用率较高, 部分进程被杀。

看到 ~/.ssh/authorized_keys 文件中存在以下的SSH的public key:

ssh-rsa 
AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1
+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx
+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB
+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE
6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww
+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6
+i6rBLAsPKgAySVKPRK+oRw==
 mdrfckr

搜索关键字: mdrfckr, 找到了以下的解决方案:

4. 处理办法

参考解决方案

  • 删 crontab
  • 删木马文件
  • 禁止密码登录

5. 原因猜测

弱密码一直存在,持续了好几年时间,但是并没有受到攻击。

2023年12月05日,通过浏览器操作,购买了杭州节点的另一台阿里云服务器,并设置了同样的密码。

浏览器中使用了一个插件, 【广告终结者】,该插件具有一定的权限。
另外,使用的是 【搜狗输入法】,输入法具有读取输入和剪贴板等权限。

怀疑是这两者有一个泄露导致攻击。

6. 经验教训

    1. 禁止使用弱口令
    1. 禁止密码登录

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK