如果怀疑有硬件后门....

前一段时间服务器被黑掉了，折腾了很久没有找到问题，然后就重装了系统，
http://www.v2ex.com/t/252017
今天上午开放了服务器使用，晚上就发现服务器重启，然后又中招了....

重装的时候全盘格式化， iso 校验了 md5 ，安装的时候没有联网，安装完成后关闭 ssh 更新，
所有用户密码重新在服务器上生成， root 密码长达 30 位，且没有开启 root 的 ssh 登录。
主要的是每次被黑掉都伴随这重启...

algas

2016-03-11 01:17:03 +08:00

@winkidney
我们的服务器上确实有这个东西，而且我们谁都不知道......

我们改了密码，明天插网线测试，
再次表示感谢～

algas

2016-03-11 01:19:18 +08:00

@BSD
现在看起来有可能会是 ipmi 的原因，如果最近测试再发现不行的话，我就听你的建议去要监控录像～

2016-03-11 01:21:30 +08:00

全盘加密，/boot 扔 U 盘，再能中招基本可以排除物理接触了。

Flyshit

2016-03-11 01:22:04 +08:00

如果在重装后到再次感染的这段时间里有联通互联网的话，说不定有可能是某些牛人挖到了某重量级 0day 然后利用，楼主快去做个蜜罐，搞到这 0day 就发了

hjc4869

2016-03-11 01:22:34 +08:00

ssh 只对内网开放，用硬件 VPN 连入，并且留下详细的访问记录。

dzxx36gyy

2016-03-11 01:40:50 +08:00

@algas IPMI 设置好……限制访问地址必须为内网(或者特定的，比如某台跳板机的 ip),然后如果要使用就挂 vpn 进内网连接……话说你们是真的不知道采购的服务器有 IPMI 模块吗……

sweelia

2016-03-11 07:34:20 +08:00

记得 Ubuntu 出了个 overlayfs 的漏洞，可以普通用户直接提权 root

gpw1987

2016-03-11 08:46:12 +08:00

怎么感觉放大片呀，我觉得 linux 越来越难搞了，希望楼主找到以后一定要公布下

winkidney

2016-03-11 11:33:27 +08:00

@algas 这个是网卡自带的特性，部分服务器网卡会有，默认没有密码保护，相当于硬件 vnc 。不知道 lz 最后查到的结果如何？

skylancer

2016-03-11 11:51:02 +08:00

我怎么感觉是 BIOSKIT 啊..
当年 DELL 那单事，然后更早更早之前其实也有人弄出来，不过是个 Demo(也就公开的版本)，至于私底下的嘛...

jsyangwenjie

2016-03-11 13:04:48 +08:00

https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf

推荐读读这篇 paper ，不是你自己写的代码都有可能有后门：）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/262602

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.