这是一个创建于 3700 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.cert-bund.de/ebury-faq
侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
 |
1
ScotGu 2014-03-23 21:36:17 +08:00
哇~~~ 赶紧检查了一下。。。
|
 |
2
yylzcom 2014-03-23 21:44:41 +08:00
感谢提醒,昨天看到新闻了,没注意。刚才通通排查了一遍,没有发现被感染的迹象。
所有服务器都是单独密钥,openssh换成了dropbear,端口号都改过 |
 |
3
initialdp 2014-03-23 21:47:01 +08:00
还好,没中毒。
|
 |
4
binux 2014-03-23 21:56:00 +08:00
有一台中毒了,其他的没事,按照传播途径来说,所有登录都是用同一个密钥,而且禁用了密码登录
后台没有用cPanel,系统和软件是官方源安装的。。不知道怎么中的。。 ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x000005a5 0 100 666 3429836 0 |
 |
6
cielpy 2014-03-23 22:14:25 +08:00
key shmid owner perms bytes nattch status
0x00000000 0 root 600 524288 4 dest 没中。有预防措施吗。 |
 |
7
lyragosa 2014-03-23 22:22:38 +08:00
~ ipcs -m
------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 空的 表示没问题吗? 我的网站都是手动配置的环境 ,从不用控制面板。 |
 |
8
xd547 2014-03-23 22:33:33 +08:00
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status 同问空的是没有问题吗? |
 |
9
niseter 2014-03-23 22:54:23 +08:00
同问什么情况是正常的?
|
 |
11
darksheen 2014-03-23 23:22:56 +08:00
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status 0x00000000 0 root 600 524288 7 dest 0x000005ff 32769 ntp 666 3301428 0 0x000005dc 65538 ntp 666 2870144 0 0x000006c2 98307 tcpdump 666 2822960 0 难道我中招了? |
 |
12
ericls 2014-03-23 23:37:51 +08:00
还好 都没中
从来不开密码登陆。。 |
 |
13
lsylsy2 OP |
 |
15
sitin 2014-03-24 00:48:56 +08:00
还好,安全。
|
 |
16
yanwen 2014-03-24 01:28:40 +08:00
|
 |
19
2ex 2014-03-24 08:07:16 +08:00 via Android
这个要回去查查.服务器太多了
|
 |
20
anheiyouxia 2014-03-24 08:43:01 +08:00
谢谢提醒,还好没中,一直都是改了端口,没禁用root和密码登陆也没事,我是不是应该继续侥幸下去?
------ Shared Memory Segments -------- key shmid owner perms bytes nattch status |
 |
21
TankyWoo 2014-03-24 10:20:40 +08:00
没中,我ssh只允许公私钥登录
|
 |
22
hadoop 2014-03-24 10:35:33 +08:00
我一堆600权限的 有没有问题?
------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x00000000 1731919872 azureuser 600 196608 2 dest 0x00000000 1733525505 azureuser 600 2579992 1 dest 0x00000000 1852211202 azureuser 600 2579992 1 dest 0x00000000 1852178435 azureuser 600 998400 2 dest 0x00000000 1734082564 azureuser 600 2725872 1 dest |
 |
23
Actrace 2014-03-24 10:37:10 +08:00
独立服务器路过.
|
 |
24
icedx 2014-03-24 11:29:28 +08:00
还好,没中毒.
|
 |
25
wulin 2014-03-24 11:36:14 +08:00
端口改了,233333
|
 |
28
onemoo 2014-03-25 00:36:54 +08:00
谢谢楼主提醒
赶紧检查了一下 应该没有问题 |
 |
29
bitbegin 2014-03-25 23:36:52 +08:00 via Android
mark
|
Select Language