如果怀疑有硬件后门....

2016-03-10 20:39:29 +08:00
 algas
前一段时间服务器被黑掉了,折腾了很久没有找到问题,然后就重装了系统,
http://www.v2ex.com/t/252017
今天上午开放了服务器使用,晚上就发现服务器重启,然后又中招了....

重装的时候全盘格式化, iso 校验了 md5 ,安装的时候没有联网,安装完成后关闭 ssh 更新,
所有用户密码重新在服务器上生成, root 密码长达 30 位,且没有开启 root 的 ssh 登录。
主要的是每次被黑掉都伴随这重启...
10272 次点击
所在节点    Linux
66 条回复
VmuTargh
2016-03-10 20:42:08 +08:00
应该是物理接触
xuboying
2016-03-10 20:44:52 +08:00
机房掉电?
algas
2016-03-10 21:15:15 +08:00
@VmuTargh 物理接触应该不会,有这个技术的已经是管理员了...


@xuboying 只有这一台机器重启,而且确实多了一个 root 用户。
ChangeTheWorld
2016-03-10 21:23:34 +08:00
BIOS 中的 Anti Theif 之类的功能估计可以实现,记得 windows 还会生成几个删不掉的.dll 文件,联网就上报机器位置什么的,我就猜测下,楼主可以进服务器 BIOS 看看,不行就刷下 BIOS ?
tobylee
2016-03-10 21:39:01 +08:00
重启到单用户,操作用户密码或权限,再正常重启,然后...,应该有物理接触吧
xuboying
2016-03-10 21:54:16 +08:00
我有个奇葩的 idea ,让显示器开着 tail 日志,再拿个摄像机对着屏幕
OliveZh
2016-03-10 22:08:53 +08:00
等待高手解答~
nicevar
2016-03-10 22:11:20 +08:00
难道是神秘莫测的 badBIOS 出现了?
楼主安装完后发现再次感染期间有联网或者连接其他设备没,没有的话怀疑 bios ,最后排除法,这个很有意思,找出来写篇文章,表示关注
winkidney
2016-03-10 22:13:11 +08:00
IPMI ?
tracert
2016-03-10 22:52:23 +08:00
还有一种可能性,带木马的 ssh client ,看了 LZ 的上一贴,虽然禁止了 root 登录,但有 sudo......
BSD
2016-03-10 22:58:07 +08:00
服务器主板用的是传统的 BIOS 还是 UEFI ?后者我也没用过,不过据说其实就是个小型的 Linux ,搞点恶意代码改写硬盘上的文件系统,应该是有可能的。。。
BSD
2016-03-10 23:00:04 +08:00
另外,建议在机柜上装个网络摄像头,有可能是机房工作人员或其它能物理接触机器的人员搞鬼。
janxin
2016-03-10 23:03:22 +08:00
你服务器开了什么服务....是不是那个服务有问题?不可能只开放了个 22 端口吧,如果是,再怀疑是硬件后门不迟。
另外,不用非官方源试试?
algas
2016-03-10 23:47:15 +08:00
@winkidney
非常有用的信息,我们现在在核对这个
algas
2016-03-10 23:57:57 +08:00
@ChangeTheWorld
如果还需要重装系统的话,肯定要去看 bios 了,不过刷服务器 bios 还是满虚的


@tobylee
@BSD
机房就是我们自己的,我觉得内部人士动手脚的可能性很小很小,因为有这个能力的人已经是管理员了,其他都是 windowsers ...,而且黑进来后的一些细节也暗示应该是外来入侵
服务器用的 BIOS ,没有 UEFI

@tracert
管理员用的 ssh 是源里的,普通用户有可能会使用被加了后门的 ssh-client ,但是对一个很好更新的系统本地提权... 只能说不能否认这种可能性

@janxin
只开了 22 端口,真的,这个服务器是做数值计算的,目前上面没有任何盗版甚至私有软件,准确的说我们目前只装了 gcc 系列

@nicevar
安装好(更新和安全配置都完成)之后静置了 24 小时,这段时间有网络连接, sshd 开启,之后发出了两个普通用户密码,其中一个是 linux user , 20 小时内发现服务器重起,多了一个 root 用户。
shiny
2016-03-11 00:02:18 +08:00
你本机有没有木马
cevincheung
2016-03-11 00:08:18 +08:00
如果换个 IP 试试咧?
algas
2016-03-11 00:10:43 +08:00
@shiny
应该没有,上次服务器被黑之后就仔细检查过自己的电脑,
没有多余用户,没有奇怪进程,没有多余的网络连接, last 里没有奇怪记录,
最重要的是,如果管理员的电脑被黑了,那么应该还有其他服务器被黑才对
algas
2016-03-11 00:12:47 +08:00
@cevincheung
恩,这个治标不治本啊,迟早会被再被对方扫到吧
BSD
2016-03-11 00:27:20 +08:00
把这台服务器配置为内网 ip ,另搞一台 pc 配外网 ip 再反向映射到这台服务器的内网 ip 上,然后在 PC 上持续抓包,看到底是不是真的是外网攻击。

我还是比较怀疑是你们内部人员搞鬼,或者是恶作剧调戏你,或者是要整你。。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/262602

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX