V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zdt3476
V2EX  ›  服务器

公司内网服务器被入侵了,我们没有公网 IP,不过有开了个 frp 穿透

  •  
  •   zdt3476 · 2022-03-15 18:40:05 +08:00 · 3620 次点击
    这是一个创建于 985 天前的主题,其中的信息可能已经有所发展或是发生改变。

    下午发现服务器风扇一直转,然后 top 看了下,发现一个叫'systemdd-dev'的程序把 cpu 跑满了。一开始以为是 systemd 相关的进程,查了下 google 发现没有结果,然后意识到估计是挖矿程序之类的东西。看了下 crontab 果然多了个不认识的任务。然后查各种日志,发现都被删了,不确定对方是怎么进来的。我们服务器没有公网 IP ,只开了 frp 穿透,不确定是不是 frp 的漏洞导致的。而且看了用于穿透的云主机也没看到什么特别的日志,就比较蛋疼。唯一发现的东西就是恶意程序的 FD 连接了一个文件名'CVE-2021-4034'。现在不确定对方到底怎么入侵的,只能先把 frp 关了。想问问大家有没有什么排查思路。

    第 1 条附言  ·  2022-03-16 19:04:39 +08:00
    > 和 #8 完全一样的情况。'公司内部的 linux:linux 和 frp 都设置的较复杂的密码,除此之外都是 docker 没有入侵的可能性。 '

    所以才很费解
    14 条回复    2022-06-16 10:08:07 +08:00
    wd
        1
    wd  
       2022-03-15 19:10:38 +08:00 via iPhone
    这种一般都需要重装系统了
    cjpjxjx
        2
    cjpjxjx  
       2022-03-15 19:11:50 +08:00 via iPhone
    frp 穿透,然后把密码设置弱密码了吧
    xmlf
        3
    xmlf  
       2022-03-15 19:19:25 +08:00 via Android
    首先你是什么业务穿透的?如果只是 web ,影响不会这么严重吧
    cxtrinityy
        4
    cxtrinityy  
       2022-03-15 20:00:43 +08:00
    根据 frp 、穿透的服务, 查查对应版本有没有漏洞允许别人建立 shell 的
    CVE-2021-4034 这个查了下是个提权漏洞, 先把这个堵上, 没有提权的 shell 应该就没那么大伤害了
    wtks1
        5
    wtks1  
       2022-03-15 20:11:12 +08:00 via Android
    是用 frp 直接把端口映射到公网去了?
    DataSheep
        6
    DataSheep  
       2022-03-15 20:16:49 +08:00 via iPhone
    看看鉴权 log 有没有惊喜
    joyhub2140
        7
    joyhub2140  
       2022-03-15 21:43:55 +08:00
    很好奇,frp 设置密码登录验证嘛?

    frp 这种基于 ssh 协议的,我都是第一时间禁止密码登录,只允许密钥的。
    wjx0912
        8
    wjx0912  
       2022-03-16 18:13:47 +08:00
    碰到相同的情况了,公司内部的 linux:linux 和 frp 都设置的较复杂的密码,除此之外都是 docker 没有入侵的可能性,结果还是被跑了木马。

    我自己用的 0.39.0 ,官网下载的,放到 www.virustotal.com 几个引擎扫描都是木马。

    下载了 frp 0.31 到 0.40 的几个版本,www.virustotal.com 测试基本都是木马。

    另外腾讯云两台 frp 跳板( debian 系统,只跳板用,干净到连 helloworld 都没有)也被挖矿了

    frp 代码本身应该没问题,我自己编译的 frp 放到 virustotal 扫描正常的,盲猜 github ci 出来的二进制有问题
    findex
        9
    findex  
       2022-04-10 22:23:56 +08:00
    @wjx0912 github ci 里面或带有其他人的 sdk 。记得某程序员曾经说过用某 github ci 编译 apk ,差点把我气死了。那个 ci 套件里面 docker 装的 sdk 全是木马。还是要自己搭建内网 runner 。
    WAHSUN
        10
    WAHSUN  
       2022-05-21 09:58:38 +08:00
    我用的也是内网穿透,不过开启了 ssh 登陆,禁用了密码登陆!
    SgtPepper
        11
    SgtPepper  
       2022-05-23 16:21:40 +08:00
    看的有点慌 我也有台云服务器再跑 frp 给 nas 用的
    nas 和云服务器我都开了 SSH ,但是端口不是默认的 22 ,我给改了。
    应该问题就不大了吧?
    zdt3476
        12
    zdt3476  
    OP
       2022-05-23 18:52:32 +08:00
    @WAHSUN 我也是这个做操,后面直接把 frp 关了。
    zdt3476
        13
    zdt3476  
    OP
       2022-05-23 18:53:38 +08:00
    @SgtPepper 我后面吧 frp 关了,就没再被入侵了。
    xhswzy
        14
    xhswzy  
       2022-06-16 10:08:07 +08:00
    瑟瑟发抖,现在最新的 0.43 ,作者放的 releases 还会不会有这个问题?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   900 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:49 · PVG 04:49 · LAX 12:49 · JFK 15:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.