服务器被未知“naike”账户从 tty1 登录,可能是啥问题?

2017-02-15 19:27:33 +08:00
 hadoop
首先服务器被重启,重启后有这么条日志
1480 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event2 (Power Button)
1481 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event1 (Power Button)
1482 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event0 (Sleep Button)
1483 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on 0.0.0.0 port xxx.
1484 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on :: port xxx
1485 Feb 15 16:34:24 C3Server login[1357]: pam_unix(login:session): session opened for user naike by LOGIN(uid=0)
1486 Feb 15 16:34:25 C3Server systemd-logind[771]: New session 1 of user root.
1487 Feb 15 16:34:25 C3Server systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
1488 Feb 15 16:34:25 C3Server login[1592]: ROOT LOGIN on '/dev/tty1'

然后 /etc/passwd 里多了一个
naike:x:0:0::/home/root:

两小时候被发现机器重启,但是数据看起来也没丢

我的疑问是:
从 tty1 登录,是不是只能物理连接?比如机房管理员直接登录
3902 次点击
所在节点    问与答
17 条回复
techmoe
2017-02-15 19:54:10 +08:00
感觉被插后门的面大
快备份好数据把那个账户删掉吧
kuretru
2017-02-15 19:55:43 +08:00
在 tty 登陆界面按 Ctrl Alt Del 即可重启,这个一看就是重启进入单用户模式新建了一个用户,并且指定这个用户 uid 为 0 ,这个用户即可获得 root 的所有权限
kuretru
2017-02-15 19:58:00 +08:00
赶紧看看.ssh 下有没有新增 公钥 history 看看他登陆后做了什么
hadoop
2017-02-15 20:00:27 +08:00
@kuretru 这个需要接触到物理机器吗?机器托管在机房里的
hadoop
2017-02-15 20:06:35 +08:00
@kuretru 没有新增密钥, history 也没有异常,奇怪了
kuretru
2017-02-15 20:10:46 +08:00
@hadoop 如果是台独服的吧,多半是物理操作的
hadoop
2017-02-15 20:32:40 +08:00
@kuretru impi 如果被黑的话,能这么搞吗?我查了 impi 没有登录记录
hadoop
2017-02-15 20:35:09 +08:00
@kuretru 我想请教下,如果是物理服务器的话,是不是只有物理接触才会进 tty ?
kuretru
2017-02-15 20:42:03 +08:00
@hadoop #8 这个我不能确定,但是凭我的经验来看,应该是物理接触
hadoop
2017-02-15 22:41:14 +08:00
@kuretru 果然中了木马,不停的发包,跑满带宽。 md 只能去重装了。
可是还没查出来被黑的原因,不爽啊
bravecarrot
2017-02-16 11:02:50 +08:00
查看你的 sshd 程序还是不是原来那个;
不要用该机器登录其他机器了。
至于怎么被黑的,根据你开放点服务排查呗
hadoop
2017-02-16 12:23:02 +08:00
@bravecarrot 确定很多二进制文件都被替换了,查了下中了 Linux.BackDoor.Gates.5 木马。重装系统,现在看起来 impi 泄露的可能性大
DeltaTriangle
2017-03-18 02:25:55 +08:00
@hadoop 我去,我已经被这个 naike 骚扰两次了,第一次我感觉有异常,但是直接重装了
重装后,改了密码。 3 天后,第二次,又被 hack 了
同样也是 tty1 登陆的,并且在 tty1 登陆前有一次物理重启
最后你这个怎么解决的呢?
hadoop
2017-03-19 11:34:55 +08:00
@DeltaTriangle 确定肯定是被黑了。具体原因说实话我没查出来。目前猜测是我的 impi 密码泄露了。重装之后改了 impi 的密码,到现在还好

你的现象跟我当时很像,在被黑之前都有一次物理重启。你看你的机器有没有一直对外发包。这个木马会替换很多二进制 bin 比如 ssh 啥的,看起来只有重装一条路
DeltaTriangle
2017-03-21 21:48:06 +08:00
@hadoop 第三次我又重装了,这次直接叫机房把 IPMI 禁了。目前来说,还没出问题,希望是解决了。
黑的原因和过程,我看了下 bash 日志和 auth 日志,猜测大致是这样的:
1. hacker 获取了 IPMI 密码,直接 console 操作。后台日志提示是 /dev/tty1 的登陆,意味着不是 ssh 被黑的;
2. hacker 直接传入 Ctrl+Alt+Del ,强制重启。系统启动时间是 10:42 ,重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着, hacker 可能进入了单用户模式,直接手动建了账号 naike ,并置 uid=0 ;
3. hacker 用 naike 账号登陆,并 su 提权,执行了操作,用 wget 下载了一个木马文件,并执行。

这个木马实际的作用,我看了下,应该是给一个境外 porn 网站做国内分流的,有点类似 cdn 那种。
感觉这个 hacker 也不是那种特别牛逼的,最大的线索应该就是登陆是 /dev/tty1 这个上面,这只能说明两种大的可能,第一就是 IPMI 密码泄露了,第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。

IPMI 被泄露这个,说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件,是不是抄送给了除了你以外的其他人(比如客服经理啥的),所以,你懂的。。。。。。。
hadoop
2017-03-22 09:09:42 +08:00
@DeltaTriangle 发给我的 impi 密码是一个随机密码,我只登录过一次,也没改过,很难是被破解的。

我跟主机商了解到,给我们这种用户的 impi 只是一个 “观察者”权限的帐号,整个机房的 impi 系统还有更高权限的用户可以随便看你的 impi 内容。 so 。。
buy2top
2019-08-08 11:27:09 +08:00
楼主我也碰到一样的问题了,是 anliyun hk 的机器,而且后来对方用了好几个 ip 来登录我的机器,还好对方新建账号才一天多点时间。我给报工单阿里云的售后感觉不行啊。我打算花点时间反撩对方,反正他的日志都没来得及清我都给保留了,实在有问题我可以报案。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/340725

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX