公司内网服务器被入侵了,我们没有公网 IP,不过有开了个 frp 穿透

2022-03-15 18:40:05 +08:00
 zdt3476

下午发现服务器风扇一直转,然后 top 看了下,发现一个叫'systemdd-dev'的程序把 cpu 跑满了。一开始以为是 systemd 相关的进程,查了下 google 发现没有结果,然后意识到估计是挖矿程序之类的东西。看了下 crontab 果然多了个不认识的任务。然后查各种日志,发现都被删了,不确定对方是怎么进来的。我们服务器没有公网 IP ,只开了 frp 穿透,不确定是不是 frp 的漏洞导致的。而且看了用于穿透的云主机也没看到什么特别的日志,就比较蛋疼。唯一发现的东西就是恶意程序的 FD 连接了一个文件名'CVE-2021-4034'。现在不确定对方到底怎么入侵的,只能先把 frp 关了。想问问大家有没有什么排查思路。

3674 次点击
所在节点    服务器
14 条回复
wd
2022-03-15 19:10:38 +08:00
这种一般都需要重装系统了
cjpjxjx
2022-03-15 19:11:50 +08:00
frp 穿透,然后把密码设置弱密码了吧
xmlf
2022-03-15 19:19:25 +08:00
首先你是什么业务穿透的?如果只是 web ,影响不会这么严重吧
cxtrinityy
2022-03-15 20:00:43 +08:00
根据 frp 、穿透的服务, 查查对应版本有没有漏洞允许别人建立 shell 的
CVE-2021-4034 这个查了下是个提权漏洞, 先把这个堵上, 没有提权的 shell 应该就没那么大伤害了
wtks1
2022-03-15 20:11:12 +08:00
是用 frp 直接把端口映射到公网去了?
DataSheep
2022-03-15 20:16:49 +08:00
看看鉴权 log 有没有惊喜
joyhub2140
2022-03-15 21:43:55 +08:00
很好奇,frp 设置密码登录验证嘛?

frp 这种基于 ssh 协议的,我都是第一时间禁止密码登录,只允许密钥的。
wjx0912
2022-03-16 18:13:47 +08:00
碰到相同的情况了,公司内部的 linux:linux 和 frp 都设置的较复杂的密码,除此之外都是 docker 没有入侵的可能性,结果还是被跑了木马。

我自己用的 0.39.0 ,官网下载的,放到 www.virustotal.com 几个引擎扫描都是木马。

下载了 frp 0.31 到 0.40 的几个版本,www.virustotal.com 测试基本都是木马。

另外腾讯云两台 frp 跳板( debian 系统,只跳板用,干净到连 helloworld 都没有)也被挖矿了

frp 代码本身应该没问题,我自己编译的 frp 放到 virustotal 扫描正常的,盲猜 github ci 出来的二进制有问题
findex
2022-04-10 22:23:56 +08:00
@wjx0912 github ci 里面或带有其他人的 sdk 。记得某程序员曾经说过用某 github ci 编译 apk ,差点把我气死了。那个 ci 套件里面 docker 装的 sdk 全是木马。还是要自己搭建内网 runner 。
WAHSUN
2022-05-21 09:58:38 +08:00
我用的也是内网穿透,不过开启了 ssh 登陆,禁用了密码登陆!
SgtPepper
2022-05-23 16:21:40 +08:00
看的有点慌 我也有台云服务器再跑 frp 给 nas 用的
nas 和云服务器我都开了 SSH ,但是端口不是默认的 22 ,我给改了。
应该问题就不大了吧?
zdt3476
2022-05-23 18:52:32 +08:00
@WAHSUN 我也是这个做操,后面直接把 frp 关了。
zdt3476
2022-05-23 18:53:38 +08:00
@SgtPepper 我后面吧 frp 关了,就没再被入侵了。
xhswzy
2022-06-16 10:08:07 +08:00
瑟瑟发抖,现在最新的 0.43 ,作者放的 releases 还会不会有这个问题?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/840564

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX