我的一台服务器被 ban 了,搞不清楚哪里出现的问题,然后再 docker image 下发现这几个我都不知道干嘛的 image ,肯定不是我装的。而且这个应该是第二次被装了。我搞不清楚哪里出了问题。之前我手动删了一次。
ssh 用的密钥登陆的 就安装了 x-ui ,vpn,frp 等常用应用,没装其他东西。
traffmonetizer/cli_v2 latest 8c010a9dea88 4 months ago 29.2MB containrrr/watchtower latest f847e1adb570 10 months ago 14.6MB fazalfarhan01/peer2profit latest cfb01c2ddbb2 2 years ago 132MB
发现我的登陆证书都被换掉了 .ssh/authorized_keys 都变成他自己的key了。。。
1
adoal 2023-12-19 13:16:41 +08:00
某个服务被爆栈溢出或者逃逸,写文件了……
服务不应该用交互登录的帐号来跑。 |
2
x86 2023-12-19 13:18:03 +08:00
拿你服务区当梯子或中转了,输入 x-ui 可以查看面板信息,登入进去瞅瞅都配置了啥
|
3
findwho OP |
4
adoal 2023-12-19 14:13:24 +08:00
@findwho 看来你不懂我说的什么意思。具体解释一下吧,比如你用 findwho 这个帐号登录了,然后同一个帐号下载某个 web 服务的软件(就先假设是 x-ui 吧),用这个帐号安装软件,再用这个帐号启动软件,那么软件 x-ui 运行时的用户身份就是 findwho ,那么帐号 findwho 能做的操作,x-ui 这个程序都能做。如果你装的这个 x-ui 的版本有代码漏洞,又没及时更新修补,或者有配置上的漏洞,那么别人有可能通过远程 web 访问就让它执行任意操作,这时别人就可以指挥 x-ui 在 findwho 的家目录里肆意妄为,包括但不限于改动.ssh/authorized_keys 文件,甚至可以改动安好的 x-ui 程序,在里面埋上更隐蔽的木马。一个合理的办法是,用专门的服务帐号来启动 x-ui ,并且要写 systemd unit 来启动,不要用能 login 的帐号,还要给这个帐号设置合理的 home 目录和 shell ,让它不能乱写入也不能登录。
所以 Linux Standard Base 里的 Filesystem Hierarchy Standard 推荐了文件系统里不同路径配置不同权限做不同功能的建议,rpm/deb 等发行版打的包也会在安装时为后台服务创建专用的非交互帐号。 |
5
Lekou 2023-12-19 14:16:59 +08:00
证书被换了,第一时间想到了 redis 。。
|
6
findwho OP @adoal 好的,非常感谢。向我这种情况该怎么查。目前就这两个发现。
其实刚登陆 vps 的时候,发现 cpu 占用很高,某个异常应用占的,然后我直接 kill 了,没注意路径。 |
7
hefish 2023-12-19 14:54:03 +08:00
x-ui 有好多漏洞的。我自己不敢用。
|
8
yeqiling 2023-12-19 15:20:44 +08:00 via Android
楼主这是被弱口令爆破了,我前两天轻量也遇到了这个问题,占用较高是因为有 kswapd0 进程在挖矿。可以按照网络上的操作修复该问题,清理定时任务,移除.ssh ,修改密码等。另外建议别用一键脚本,自己搭建好一些。https://zhuanlan.zhihu.com/p/465487828
|