【已查杀】LINUX中毒了怎么杀啊。

nisekoi

siyun77 发表于 2021-2-1 09:44
1.看看定时任务
2.看看定时任务里面得脚本内容
3.看看.ssh里面有没有奇怪的东西

检查了一下。定时任务都是正常的。
~目录下没有.ssh文件夹不知道为啥
root目录下文件均正常
tmp目录暂时没发现可疑文件。都是log、sock之类的
最后这个爱怪文件是啥意思？
检查了登录记录。是昨天下午通过debianuser 这个用户名进来的
Jan 31 16:14:18 NVMe sshd[10375]: Accepted password for debianuser from 205.185.125.189 port 47920 ssh2
Jan 31 16:24:17 NVMe sshd[17332]: Accepted password for debianuser from 205.185.125.189 port 42482 ssh2
网上搜索到了

1. debian10的模板里面自带一个debianuser，
   
2. 如果这个密码被破解那岂不是用了这个模板的小jj都要遭，就和绿云一样

复制代码

我检查一下是不是前几天那个sudo提权漏洞的锅

1. backup.conf
   
2. bt_install.pl
   
3. cert.pl
   
4. hsperfdata_root
   
5. mysql.sock
   
6. ng_file_bk.conf
   
7. panelExec.log
   
8. panelShell.pl
   
9. panelSpeed.pl
   
10. php-cgi-73.sock
    
11. proxyfile_bk.conf
    
12. redis.log
    
13. serverstatus_client.log
    
14. serverstatus_server.log
    
15. sess_0gvprin2e48qo3kfsemj0hkcuo
    
16. sess_6oqeq6tovuptevsv1oevrg3rcb
    
17. sess_a7h9p7cc5on878qop4tr5mp4o2
    
18. sess_bk7i9j5bfll00mpg3d9s5ibks9
    
19. sess_d5pimsc8bagkshg9krpg1tmo5j
    
20. sess_etvd4pd142gd17v1nmnve7ud1q
    
21. sess_f2uv24kq85hajejq1ovcf630me
    
22. sess_id0f0v5vcdhhpkiomb9fbr11ss
    
23. sess_imf32gvjthcuhirmb0llebhbmk
    
24. sess_j2tpdhem4luaegln7r2kmmtp0k
    
25. sess_jpd1vp0n1mpns0rn66n5qlpe4c
    
26. sess_ka7v6712cicr9a3n5ajkqc38ve
    
27. sess_opfv1pnb6h73ltjv53ta17q60i
    
28. sess_qu8t3og7t0nss66kd7p7nt30q0
    
29. sess_rhgd7el8bbq0map9pada4upej6
    
30. sess_sdq247dm6q8apcnmcr1ach1png
    
31. systemd-private-e4bd03abb3a34066a60be5ea2a168f06-systemd-timesyncd.service-CvjxtJ
    
32. tmp.nbjD3zw3Ub
    
33. tomcat.5909866623126272623.8081
    

复制代码

nisekoi

大屁股 发表于 2021-2-1 09:43
想想看你都用过什么脚本？很多脚本有些作者加密的

只用过逗比的探针脚本

nisekoi

大** 发表于 2021-2-1 10:08
个别作者别有用心，免费提供的东西总会利用点什么，但这也不能怪作者，现在这个社会发展就这样
比如说彩 ...

这个脚本我装过几十台机器了。目前就这一个中招。应该不是这个的问题。
感觉像是这个提权的问题。不知道这个系统模板默认的debianuser这个用户是干啥的，赶紧吧其他机器的sudo版本升了一下。

补充一下。这一家厂我有3台VPS。都是debian系统。都装了逗比探针。检查了一下。没中毒的两台一个是模板没有debianuser这个用户（这家在去年年底更新了一次debian系统模板）。一个是没装sudo。

wget

nisekoi 发表于 2021-2-1 10:10
这个脚本我装过几十台机器了。目前就这一个中招。应该不是这个的问题。
感觉像是这个提权的问题。不知道 ...

感觉是12月到1月之间的系统模板问题。
我也检查了我的3台机器，1台机器是ISO安装，2台机器是用模板安装的，均没有发现debianuser用户。2台模板安装的大概是黑五左右安装的，安装后直接禁止密码登录，用密钥登录，装的逗比的探针，cpu均没有异常占用情况。

先容我水一发

jarvan 发表于 2021-2-1 09:48
没有节操的是什么样的？

长期占满CPU，被黑的人一下就知道了被搞了，有点节操的，会限制个30%，这样不会触发云服务器的告警，被黑的也不知道

小轩呀

开证书，麻烦是麻烦，但是安全多了

marile

https://www.lowendtalk.com/discussion/169685/vulnerability-in-solusvm-debian-10-template-debianuser-backdoor-default-user
https://aoyouer.com/posts/server-hacked-record.html

solusvm模板的后门

呼啦啦

好多 debian 都有这个默认用户

88170351

对应目录删掉，启用证书登录，封掉账号密码登录