服务器疑似被入侵,怎么看这个文件执行了什么?

95 天前
 zhongjun96

今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。

进一步排查发现 historylast 被清空。被安装了 python3 ,npm
添加了两个 cron 任务 

@reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown

sshu 文件地址_Github

新增了两个用户 bashserver

怎么看这个文件执行了什么?

4292 次点击
所在节点    Linux
43 条回复
zhongjun96
94 天前
@1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022
zhongjun96
94 天前
@badboy200600 #14 我是通过 lsof -i 看连接看到的
zed1018
94 天前
@zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10
Remember
94 天前
不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。
zhongjun96
94 天前
@wentx #20 不确定和这个是否有关,几台物理机机器同时中招。
acess
94 天前
@Remember 诶哪里提到的,关掉密码登录就不受影响了?
retanoj
94 天前
@zhongjun96 #13
你这。。 你一直说 “SSH 只开了秘钥登录,不知道怎么中招的”
实际上你这张图里显示还有 nginx 服务,后面有什么还不一定
imlonghao
94 天前
对外开放的端口列表发一下
iminto
94 天前
楼主偏激了,揪着 openssh 不放。

关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。
比如 PHP 漏洞,比如 tomcat 漏洞。。。
m1nm13
94 天前
一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口
tuiL2
94 天前
看看你的其他服务的日志,有没有执行什么奇怪的请求
r3a1ex0n0
94 天前
不是 CVE-2024-6387
zhongjun96
94 天前
@iminto #29 不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx
zhongjun96
94 天前
@imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。
zhongjun96
94 天前
@imlonghao #28 一共只开放了 22 和 80,443 。
80,443 都是 nginx 直接转发到 k3s 服务的。
MoeMoesakura
94 天前
k3s cve?
retanoj
94 天前
查一下 22 端口的 SSH 是不是 root 用户弱口令?
查一下 k3s 集群是否开放了 anonymous 匿名访问?
查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限?
zhongjun96
94 天前
@retanoj #37
ssh 设置了 PasswordAuthentication no 。
root 密码也是英文加符号加数字。
k3s 并未开启 anonymous-auth
retanoj
94 天前
@zhongjun96 #38
那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥?
这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录?

以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口?
julyclyde
93 天前
@Remember 哪儿来的谣传 64 位不容易成功入侵?这都 2024 年了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054170

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX