服务器疑似被入侵，怎么看这个文件执行了什么？

2024-07-02 11:06:03 +08:00

zhongjun96

今天上班发现公司网页无法访问，排查后发现是服务器 `/var/log` 被清空，导致 nginx 无法启动。

进一步排查发现 history和 last 被清空。被安装了 python3 ，npm
添加了两个 cron 任务

@reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown

sshu 文件地址_Github

新增了两个用户 `bash` 和 `server`

怎么看这个文件执行了什么？

5017 次点击

所在节点

Linux

43 条回复

zhongjun96

2024-07-02 18:50:37 +08:00

@1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022

zhongjun96

2024-07-02 18:50:56 +08:00

@badboy200600 #14 我是通过 lsof -i 看连接看到的

zed1018

2024-07-02 18:52:06 +08:00

@zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10

Remember

2024-07-02 18:52:24 +08:00

不是说 64 位不容易成功入侵吗？还有人说关掉密码登陆也不会受影响。

zhongjun96

2024-07-02 18:52:37 +08:00

@wentx #20 不确定和这个是否有关，几台物理机机器同时中招。

acess

2024-07-02 18:59:32 +08:00

@Remember 诶哪里提到的，关掉密码登录就不受影响了？

retanoj

2024-07-02 19:20:05 +08:00

@zhongjun96 #13
你这。。你一直说 “SSH 只开了秘钥登录，不知道怎么中招的”
实际上你这张图里显示还有 nginx 服务，后面有什么还不一定

imlonghao

2024-07-02 19:25:07 +08:00

对外开放的端口列表发一下

iminto

2024-07-02 19:39:25 +08:00

楼主偏激了，揪着 openssh 不放。

关注的方向就不对，要入侵你设备，很大部分都不需要借助 ssh 漏洞，而是通过背后的一堆服务进来的。
比如 PHP 漏洞，比如 tomcat 漏洞。。。

m1nm13

2024-07-02 19:42:56 +08:00

一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口

tuiL2

2024-07-02 20:20:35 +08:00

看看你的其他服务的日志，有没有执行什么奇怪的请求

r3a1ex0n0

2024-07-03 08:25:58 +08:00

不是 CVE-2024-6387

zhongjun96

2024-07-03 08:52:39 +08:00

@iminto #29

不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx

zhongjun96

2024-07-03 08:58:14 +08:00

@imlonghao #28 机器是物理机，没开防火墙，只有 22 端口通过 frp 对外网开放了。

zhongjun96

2024-07-03 09:00:10 +08:00

@imlonghao #28 一共只开放了 22 和 80,443 。
80,443 都是 nginx 直接转发到 k3s 服务的。

MoeMoesakura

2024-07-03 09:09:04 +08:00

k3s cve?

retanoj

2024-07-03 09:40:42 +08:00

查一下 22 端口的 SSH 是不是 root 用户弱口令？
查一下 k3s 集群是否开放了 anonymous 匿名访问？
查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限？

zhongjun96

2024-07-03 10:17:27 +08:00

@retanoj #37
ssh 设置了 PasswordAuthentication no 。
root 密码也是英文加符号加数字。
k3s 并未开启 anonymous-auth

retanoj

2024-07-03 10:27:08 +08:00

@zhongjun96 #38
那再往里面查查？比如通过 ngx 暴露到公网的服务到底是啥？
这个服务所在的容器是不是特权容器？或者挂载了宿主机某些目录？

以及，“多台物理机同时中招”是指多台都在挖矿？其他机器是否可能也存在入口？

julyclyde

2024-07-03 19:46:32 +08:00

@Remember 哪儿来的谣传 64 位不容易成功入侵？这都 2024 年了

第 2 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054170

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

服务器疑似被入侵，怎么看这个文件执行了什么？

今天上班发现公司网页无法访问，排查后发现是服务器 /var/log 被清空，导致 nginx 无法启动。

sshu 文件地址_Github

新增了两个用户 bash 和 server

今天上班发现公司网页无法访问，排查后发现是服务器 `/var/log` 被清空，导致 nginx 无法启动。

新增了两个用户 `bash` 和 `server`