阿里云 Ubuntu 服务器还是中了挖矿病毒了

ssh 禁用密码登录了吗？

补丁打满了？ Ubuntu 版本你也没说啊，真的只允许内网的另外一台服务器访问么？你是怎么设置的？

首先，这不是挖矿病毒

起码根据文件路径和文件名看，这就是 ubuntu 的普通的 apt 里塞广告或者检查什么更新的一个脚本。当然并不 100%排除这一定不是挖矿病毒。

最简单的是，你把 ubuntu-advantage 给卸载掉看还有这货没。

刚才看了看，这个文件是 ubuntu-pro 的一部分，如果你没开启 Ubuntu Pro 的功能，可以直接卸载 ubuntu-pro-client 这个包，就可以了。

https://ubuntu.com/pro

误报吧

@villivateur 禁用密码登录了。

应该是勒索或者肉鸡 阿里云那点性能挖不出啥矿

@ericguo 一直不知道 Ubuntu 要去哪儿打补丁，主做开发，兼做运维。系统版本是 2204 ，阿里云安全组默认是禁止所有入方向的请求的。

比对一下 hash ，可能是误报。

@dzdh
@zhangshine
@yellowbean 把阿里云上提供的有毒源文件下载过来看了看，是个二进制文件，用文本编辑器打开看了看，的确有些可疑。

又看了看 /usr/lib/ubuntu-advantage/apt_news.py 文件的内容，感觉挺正常的。

@dream4ever 前段时间我也遇到了，我的大概率是 Flink web 面板被提交东西执行了，给我设置了个定时任务，15 分钟下载一次挖矿代码执行。

openssh server 最近爆出 CVE-2024-6387 OpenSSH Server 漏洞， 也不是绝对安全，定期上去 apt update ，apt upgrade ，更新一下

@liaohongxing 多谢，我去看看去

@dream4ever 上传到 virustotal 扫描下

这不是病毒吧，我几个 Ubuntu20.04 设备也都有，内容：

```python
#!/usr/bin/python3

from datetime import datetime, timedelta, timezone

from uaclient import apt, log
from uaclient.apt_news import update_apt_news
from uaclient.config import UAConfig


def main(cfg: UAConfig):
if not cfg.apt_news:
return

last_update = apt.get_apt_cache_datetime()
one_day_ago = datetime.now(timezone.utc) - timedelta(days=1)
if last_update is not None and last_update > one_day_ago:
return

update_apt_news(cfg)


if __name__ == "__main__":
log.setup_journald_logging()
cfg = UAConfig()
main(cfg)
```

受影响的 OpenSSH 版本
低于 4.4p1 的 OpenSSH 版本容易受到此信号处理程序竞争条件的影响，除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。
由于 CVE-2006-5051 的变换补丁，从 4.4p1 到（但不包括） 8.5p1 的版本不再存在此漏洞，该补丁使之前不安全的功能变得安全。
由于意外删除了功能中的关键组件，该漏洞在 8.5p1 至 9.8p1 （但不包括）版本中再次出现。

把有毒的二进制文件发现呢？

这是 Ubuntu 自己夹带私货，有一说一建议还是用 Debian

emmmmm

dpkg -l | grep ubuntu-pro | awk '{print $2}' | xargs apt-get remove --purge -y

逃～