公网上一台 centos7 的服务器被来自纽约的 ip 入侵并植入了 xm64 挖矿木马,在 public 用户(同事自建的用户)下运行,幸好不是 root 。
清理了木马后,排查了下,在 secure 日志中发现是用户 public 通过 publickey 密钥登录之后搞的(登录时间和木马生成时间一致)。
public 用户目录的.ssh 目录下有 authorized_keys,有经询问同事,并没有建 public 用户的密钥登陆,并且登录密码很复杂。
服务器上跑着 oracle 、supervisord 、zabbix 客户端、urbackup 客户端,但这些程序的端口都被 firewalld 防火墙屏蔽了。
到现在还没搞明白怎么入侵进来的,希望有大神指点下,谢谢啦。
1
retanoj 2020-09-03 15:50:03 +08:00
需要看看 public 用户.ssh/authorized_keys 里面内容
|
2
monsterxx03 2020-09-03 16:03:01 +08:00
看看安装这些的时候有没有用不知从哪拷过来的一键脚本......
|
3
liuguang 2020-09-03 16:23:43 +08:00
之前听说 xshell 带后门,你不会用的 xshell 吧,密码泄露
|
4
vision1900 2020-09-03 16:35:37 +08:00
只有公钥是不足以造成数据泄露的,必须还要有对应的私钥才能解密。楼主甚至可以把公钥和 IP 贴出来,这里也没有人能够成功入侵服务器(当然 IP 贴出来被人扫端口无法阻止)。如果真的被有效入侵,肯定私钥也被泄露了
|
5
chinvo 2020-09-03 16:41:30 +08:00
1 、SSH 不管使用多复杂的密码登录, 理论上都是不安全的
2 、日常使用中如果有使用一键脚本, 则脚本内可能有私货 3 、如果使用有漏洞的客户端工具, 包括某些版本的 xshell 、破解版的各种客户端、国内小网站下载的 putty, 则可能被植入后门 4 、内鬼 |
6
vision1900 2020-09-03 16:48:57 +08:00 1
我先来一波,我有台服务器运行着 sshd 进程,地址是: [email protected]:22
authorized keys 里有一个 RSA Key 如下: ssh-rsa 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 rz@patrick-ren.com 欢迎各位骚扰, 80 端口是我正在开发的个人主页: http://158.247.203.9 有暗黑模式哟 |
7
mrzx 2020-09-03 16:50:21 +08:00
@vision1900 楼上是蜜罐吗?
|
8
vision1900 2020-09-03 16:51:28 +08:00
直接用了 root 账号,ssh 默认端口 也没有修改,SSL/TLS 也没加,等待被教育
|
10
ksice 2020-09-03 17:28:05 +08:00
我们服务器也被挖矿处理了,现在还没找到痕迹
|
11
mrzx 2020-09-03 17:37:08 +08:00
@vision1900 我相信你给做安全服务的公司足够的经费,会好好教育你的。。。不然天底下没有免费的午餐。获取你的数据也没有任何实际变现的价值。不然还免费帮你做安全加固?哪有那么好的事。。
|
12
AstroProfundis 2020-09-03 17:52:10 +08:00
楼上想偏了,这种并不是破解了已经添加到 authorized_keys 的密钥,而是通过别的手段把攻击者的公钥加到了 authorized_keys 里面,之后攻击者再正常登录进来
|
13
zhangsanfeng2012 2020-09-03 17:53:23 +08:00 via Android
别的程序漏洞,公钥被写进去的吧
|
14
Whalko 2020-09-03 18:11:10 +08:00
@vision1900 #6 @livid 这……帮忙删了吧
|
15
kidlj 2020-09-03 18:28:38 +08:00
可能是 redis 暴露在公网了。
|
16
vision1900 2020-09-03 18:36:14 +08:00 1
@Whalko 我仔细去 about 页面看了下,#6 并没有违反任何一条规则. 贴出来也只是为了验证 SSH 公钥是可以与任何人分享而不用担心安全的
|
17
Whalko 2020-09-03 19:12:40 +08:00 via Android
@vision1900 对不起,我的问题。没看清错以为你把私钥发出来了。= = 我想这也太危险了
|
18
Livid MOD |
19
chenluo0429 2020-09-04 07:23:35 +08:00
服务器上的恶意程序向.authorized_keys 写入了公钥,或者客户端上的恶意程序(比如各种 ssh 连接工具)获知了私钥
|
20
superrichman 2020-09-04 08:07:58 +08:00 via iPhone
可能是先入侵了其它权限更高的用户,再用 public 用户跑挖矿。
或者对外服务有 rce 之类的漏洞,人家直接写了一个 key 进来。 |