自用开发服务器被黑了,怎么看黑客在我机器上做了什么?

2023-10-25 11:27:07 +08:00
 skyrem
是这样,我家里有一个自用的 INTEL NUC ,装了 Fedora 38,平时配置了 authorized_key ssh 上去开发用

用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。

今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。

通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.

/home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
```
-rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
-rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
-rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
-rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
-rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
```
另外还可以查看些什么被修改的地方?
5112 次点击
所在节点    信息安全
34 条回复
henix
2023-10-25 20:50:52 +08:00
journalctl -b 看看系统日志?看看黑客执行了些啥高权限操作。不过这个也有可能被清了
jim9606
2023-10-25 22:00:23 +08:00
想研究我建议硬盘拆出来镜像后研究,不过现在有 fileless 的木马不好找。
别想着修复环境,老实格盘重建。
zhng920823
2023-10-25 22:11:16 +08:00
@jim9606 #22 是不是有写入 BIOS/UEFI 的木马?
有些笔记本的防盗功能就会在 windows 下放入一个文件并自启动,针对 linux 的不知道有没有
GeekGao
2023-10-25 22:23:17 +08:00
不用浪费时间,格式化重装
allpass2023
2023-10-25 22:27:59 +08:00
@thinkm

有可能是用漏洞进来的,对方并不知道密码,只可以改。
ashong
2023-10-25 22:42:58 +08:00
非公开服务最好是 vpn 回家 使用
jim9606
2023-10-25 22:48:10 +08:00
@zhng920823 有可能,非商用系统可能没有正确实现固件保护。
至于固件防盗,例如 Intel Anti-Theft ,还有 Dell 电脑常见的 Absolute Computrace 。
这个东西需要针对 OS 设计,拿 Computrace 来说,启用后会劫持 windows 启动流程,在系统写入 rpc 服务,在完成启动后带起 rpc 服务联网通信。显然这些步骤都假定是 win 系统了。
kingjpa
2023-10-25 23:49:32 +08:00
不要做无用功,因为你永远也不会知道它在服务器到底做了啥,你做的一切都是猜测
正确办法是 备份数据,立刻彻底重装。
blacktail
2023-10-26 11:03:04 +08:00
一直用 key 登录也会被黑吗
NGGTI
2023-10-26 12:40:08 +08:00
@thinkm #13 这种是自动化扫描程序扫到了,自动植入挖矿,并修改密码,防止其他挖矿病毒来抢占资源。
phx1
2023-10-26 13:07:14 +08:00
可以试一下牧云主机助手的安全扫描,主要做入侵痕迹排查的
Cyshall
2023-10-26 14:46:52 +08:00
用 tailscale 或者 zerotier 这种组网,跑 frp 的台公网服务器跑中转服务,这样你 root 密码设置的再简单都没事,而且不需要每次起一个服务还要跑到 frp 添加端口
lupus721
2023-10-30 10:58:16 +08:00
建议重做应用,cp 东西,别想着完全查清楚对方做了什么。 给 28 楼点赞。
weeei
2023-10-30 19:59:11 +08:00
仅允许 pubkey 登录,root 密码简单一点没事

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/985204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX