VPS 中毒了,Ebury,据说传播范围很大

2014-03-23 21:19:17 +08:00
 lsylsy2
https://www.cert-bund.de/ebury-faq
侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
5144 次点击
所在节点    信息安全
29 条回复
ScotGu
2014-03-23 21:36:17 +08:00
哇~~~ 赶紧检查了一下。。。
yylzcom
2014-03-23 21:44:41 +08:00
感谢提醒,昨天看到新闻了,没注意。刚才通通排查了一遍,没有发现被感染的迹象。

所有服务器都是单独密钥,openssh换成了dropbear,端口号都改过
initialdp
2014-03-23 21:47:01 +08:00
还好,没中毒。
binux
2014-03-23 21:56:00 +08:00
有一台中毒了,其他的没事,按照传播途径来说,所有登录都是用同一个密钥,而且禁用了密码登录
后台没有用cPanel,系统和软件是官方源安装的。。不知道怎么中的。。

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x000005a5 0 100 666 3429836 0
hadoop
2014-03-23 22:10:21 +08:00
@binux 中途途径? cpanel?
cielpy
2014-03-23 22:14:25 +08:00
key shmid owner perms bytes nattch status
0x00000000 0 root 600 524288 4 dest
没中。有预防措施吗。
lyragosa
2014-03-23 22:22:38 +08:00
~ ipcs -m

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

空的 表示没问题吗?

我的网站都是手动配置的环境 ,从不用控制面板。
xd547
2014-03-23 22:33:33 +08:00
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

同问空的是没有问题吗?
niseter
2014-03-23 22:54:23 +08:00
同问什么情况是正常的?
binux
2014-03-23 23:10:08 +08:00
@hadoop 我所有机器都只从同一台机器登录,除了 hostigation 的面板没有装面板
darksheen
2014-03-23 23:22:56 +08:00
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x00000000 0 root 600 524288 7 dest
0x000005ff 32769 ntp 666 3301428 0
0x000005dc 65538 ntp 666 2870144 0
0x000006c2 98307 tcpdump 666 2822960 0

难道我中招了?
ericls
2014-03-23 23:37:51 +08:00
还好 都没中
从来不开密码登陆。。
lsylsy2
2014-03-23 23:59:39 +08:00
@lyragosa
@xd547
@xd547
@niseter
空的就是安全的,只要没这个,具体可以点原文链接进去看
预防方法……不知道,平时管理好SSH密钥吧,按照上面的换dropbear等其他的也许也是个办法
lsylsy2
2014-03-24 00:00:26 +08:00
@binux 也许是0day吧……
sitin
2014-03-24 00:48:56 +08:00
还好,安全。
yanwen
2014-03-24 01:28:40 +08:00
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x00000000 294912 root 600 524288 7 dest

@binux
@lyragosa

这样中了么?
yylzcom
2014-03-24 01:41:19 +08:00
@yanwen

大于26k 且666权限的基本就是中招了,你的是600,不符合
yanwen
2014-03-24 01:56:13 +08:00
@yylzcom 谢谢。。
2ex
2014-03-24 08:07:16 +08:00
这个要回去查查.服务器太多了
anheiyouxia
2014-03-24 08:43:01 +08:00
谢谢提醒,还好没中,一直都是改了端口,没禁用root和密码登陆也没事,我是不是应该继续侥幸下去?
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/105541

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX