绿云被人入侵并用作挖矿

havoc06

这个帖子的标题原来是“绿云的系统镜像可能存在一些问题，被拿去挖矿了”，但是我和客服说了很久，他们都坚持认为他们的镜像没有问题，那我就改成我自己的服务器被入侵并用作挖矿的记录吧，希望能给大家一些警示。

今天登陆了绿云的一台机器后发现占用始终是100%，一看占用第一的进程 xmrig,居然是被人拿去挖门罗币了，又看了看另一台绿云的机器也是同样的情况，一开始我怀疑是我笔记本出了问题，但是看了看，其他服务商的服务器都没出问题。然后检查被拿来挖矿的这两台机器，都是用了debianuser这个用户，检查了一下/etc/shadow文件，这个默认的普通账户居然一开始就设置了密码，查看登录日志，黑客基本在几次登陆后就登录成功了（有一台服务器甚至是一次就登陆成功了）。

接着他执行了下面这个脚本,开始挖矿。

绿云debian10镜像的 debianuser账户的初始密码，要么很弱，要么就有着一定的规律。绿云用着debian10的朋友可以留意一下，如果不用这个账户直接 passwd -l debianuser。或者干脆userdel删除掉这个用户。

403_Forbidden

我自己安装了其他的系统，没用模板。

havoc06

403_Forbidden 发表于 2020-10-18 23:42
我自己安装了其他的系统，没用模板。

真的没想到除了root，他这个镜像还设置了普通账户以及密码

403_Forbidden

havoc06 发表于 2020-10-18 23:43
真的没想到除了root，他这个镜像还设置了普通账户以及密码

尽量不要用模板吧，我用全都自定义安装的。内存小就自己安装Debian，内存大的可以安装CentOS 8或者其他的了。

lijihede

绝对是模板的问题，因为干净的系统没有这个用户

wifitry

感谢分享经验

nekobiu

一直都是禁止密码登录

caddy

机器到手，第一件事就是证书登陆+禁止密码登录，不就完事了

havoc06

caddy 发表于 2020-10-19 02:06
机器到手，第一件事就是证书登陆+禁止密码登录，不就完事了

我就没想到他家还另外有个默认账户，而且这个密码估计还很弱或者有一些特征，黑客几次尝试就能破解出来.