这是一个创建于 321 天前的主题,其中的信息可能已经有所发展或是发生改变。
不注意将 ssh 暴露到公网,很快就被攻破了 root 密码,植入了僵尸代码。。。
User [root] from [50.168.186.242] logged in successfully via [SSH].
admin@DiskStation:/usr/.work$ ls
31714944_172.18.140.24_sec_event_dict.pkl auth.sh heartalive.lock kworkers rule_descs.csv upx-3.96-amd64_linux.tar.xz xmr
alert_descs.csv config.json hole_descs.csv linux_server64 secure.sh upx-3.96-arm64_linux.tar.xz yum.log
alert_descs.xlsx getGraphData.ipynb index.html networkxAnalysis.ipynb tmp.f9F5g2gAHz work32
analysisPath.ipynb graphscopeAnalysis.ipynb ks-script-JLpxkR nohup.out true_rule_descs.csv work64
/usr/.work/work64
我自己使用都不是 root 用户,没想到这么容易攻破,即使系统封禁了一些 ip
第 1 条附言 · 283 天前
结帖:
先破解 admin 密码,然后给 root 目录植入 ssh 公钥,然后 ssh 登录进行植入木马
植入的公钥是这个
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911
先破解 admin 密码,然后给 root 目录植入 ssh 公钥,然后 ssh 登录进行植入木马
植入的公钥是这个
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDc3BlbiQaznPT8TScrs9YIzmrpI9Lpa4LtCjB5z0LuQ4o6XwvzomxAixn2F1jaUl175Cxcg3PmUsPOLE+WeWicKqL2YZ46SotjZgnS6JjXpuZVi7V0DSiXu0itlwWDC9m8huBvUBSIsDCsgb9OeG6rlrCyZgTW+qZciK+KZ8rwlFp3CFyxoF2122ueOnl5pAUCy1iHqGun03dMdUxA1d3KnxSZ3NQrYiH69dc8/YhV4SriOW9psc0pv9KeBLF0OXHtEAdbnSlwfk2uTjjBMK0nDidl7wS52Ygi/H4+P+4EXkSzf4Jj4/L6P3c5rLC3/l3RFdo1T7EQ8fH6NsTYJNZ7 root@u911
 |
1
yuanmomo 321 天前 via iPhone
这个跟群晖没关系吧?那个 root 密码不能自己设置的么?感觉 ssh 不要公私钥,怎么都不安全
|
 |
2
ZRS 321 天前 via iPhone  6
前提条件是你启用了 root 账户开启了 ssh 登陆还设置了弱密码吧
|
 |
3
blakejia 321 天前
root 不是直接禁用的么?
|
 |
5
wheat0r 321 天前
你不说我都想不到还需要启用 root 用户
|
 |
6
monkey110 321 天前 via Android
看到标题心里咯噔一声 ,看了内容一下就放松了
|
 |
7
ebioishiiii 321 天前
所以你的密码是多少长度的大小写数字符号混用?
|
 |
8
bao3 321 天前
你是怎么启用了 root 的…… 再强的这全策略也防不住家贼。
你自己的普通用户名本身就很难被猜到,更别说还要再匹配你的普通用户密码。
你 ssh 居然是公网可以访问的,这个也奇葩……
能同时满足这个组合的黑客,那真的是少了又少,更何况群晖本身是会屏蔽攻击者的 IP…… 好像是禁用一天?
不是群晖有问题,用巨婴思维看,整个地球都有问题,只有巨婴没问题。 |
 |
9
jiangzm 321 天前
什么意思, 用正确的 root 密码, 系统要拦截下“非法”用户对吗?
|
 |
10
MeteorVIP 321 天前 via iPhone
那我的软路由 openwrt 不是很危险?外网 ipv6 的 80 端口直接访问,没有 ipv4 公网,用了 root 账号,非常弱的秘密。
要怎么办?重装系统,然后来个超级复杂的密码? 顺便问一下,怎么看软路由有没有中毒? |
 |
11
luckjoe680 321 天前
@MeteorVIP 不开放公网 用 vpn 访问
|
 |
12
token10086 321 天前
特地看了下我群辉上的默认配置
``` #LoginGraceTime 2m #PermitRootLogin prohibit-password #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 ``` 人家不是禁用了 root 登录吗。。。 |
 |
13
licong 321 天前
我前几天也开放了,目前没事
|
 |
14
nigga 321 天前
请问有哪个发行版系统你自己弱密码启用 root 公网访问不容易破的?
|
 |
15
standin000 OP |
 |
16
gadore 320 天前
@standin000 DSM7.0 默认就是关闭 admin 账号的,第一次设置需要设置自己的管理员账号名称,而且官方也强烈建议更换非 22 端口,官方还非常贴心地会使用安全检查定期提醒,如果你没有修改 22 端口的话。。。你是怎么把这一系列的安全措施全部开放给皇军带的路?还是说。。。你用的低版本?
|
|
17
bao3 320 天前
@standin000 实在点说,不应该用 admin 用户。从安全角度说,永远只能启用普通用户。另外就是复杂密码是必要的,用密码软件记下密码。
|
 |
18
Achophiark 320 天前
方便与安全是矛盾的,可以只开内网 ssh,然后开启 secure signin
|
 |
19
GoodRui 320 天前 via Android
@ZRS 是的,up 主苦心积虑帮黑客绕过了群晖的多道防护策略
@standin000 那我们可就不知道了。群晖是不启用 root 的。如果启用了,肯定是通过 ssh 或 telnet 进行了启用操作。 |
|
20
standin000 OP |
 |
21
TsubasaHanekaw 318 天前
群晖 root 密码不就是你管理员的密码么.
|
|
22
standin000 OP @TsubasaHanekaw root 密码不是 admin 的密码,要 root 登录必须用 ssh key ,但是 admin 被攻破后,root 登录就很容易了。
|
Select Language