自用开发服务器被黑了,怎么看黑客在我机器上做了什么?

196 天前
 skyrem
是这样,我家里有一个自用的 INTEL NUC ,装了 Fedora 38,平时配置了 authorized_key ssh 上去开发用

用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。

今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。

通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.

/home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
```
-rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
-rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
-rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
-rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
-rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
```
另外还可以查看些什么被修改的地方?
4708 次点击
所在节点    信息安全
34 条回复
x86
196 天前
看都不用看,不是挖坑就是留着以后 DDOS
bkmi
196 天前
我好奇的是怎么被黑的,都跑了什么服务,ssh 关闭密码登录没,如果没关,那只能说该。
sheeta
196 天前
《 另外我的 Root 密码比较简单》
skyrem
196 天前
@bkmi #2 没关密码登录 ,在 Docker 里跑了 Frp ,和一些 web 应用,postgres ,kafka ,nginx 啥的
skyrem
196 天前
@sheeta #3 我反思,我检讨
n2l
196 天前
吃过亏长记性就好啦。
Nitroethane
196 天前
直接重装系统吧,root 密码泄漏的话想做什么做什么,清理不干净的
titanium98118
196 天前
配置了 authorized_key ,但 root 密码登录不关?
Tyuans
196 天前
不重要就重做吧,本身不都是 docker 吗,有用的弄出来重新做得了。
fs418082760
196 天前
fail2ban
Binwalker
196 天前
设置了 authorized_key ,但是 root 密码不关,你也是个人才,这设置有何用
hetingting
196 天前
建议使用这个命令后重装系统:sudo rm -rf /*
thinkm
196 天前
搞不懂黑客为什么这么蠢,还改 root 密码,是生怕别人不知道被后门了吗
luny
196 天前
中招了很难修复,加入的东西隐藏的很深,在公网弱密码真的很惨,之前中招被装了挖矿程序,删都删不掉。
march1993
196 天前
@thinkm 是怕别人进来挤掉自己好不容易找到的算力和 IP
someday3
196 天前
瞧瞧,瞧瞧,有 nat 把大家惯成啥样了。 都不知道世界的险恶了。
flyqie
196 天前
@thinkm #13

有些服务器可能很久都不会有人登一次。。

打算赌一把?
someonedeng
196 天前
不看了,备份一下重装吧
slack
196 天前
我记得 Fedora 好像默认是有 SELinux 的呀,楼主关了?
tankren
196 天前
直接重装

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/985204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX