这是一个创建于 2961 天前的主题,其中的信息可能已经有所发展或是发生改变。
前一段时间服务器被黑掉了,折腾了很久没有找到问题,然后就重装了系统,
http://www.v2ex.com/t/252017
今天上午开放了服务器使用,晚上就发现服务器重启,然后又中招了....
重装的时候全盘格式化, iso 校验了 md5 ,安装的时候没有联网,安装完成后关闭 ssh 更新,
所有用户密码重新在服务器上生成, root 密码长达 30 位,且没有开启 root 的 ssh 登录。
主要的是每次被黑掉都伴随这重启...
http://www.v2ex.com/t/252017
今天上午开放了服务器使用,晚上就发现服务器重启,然后又中招了....
重装的时候全盘格式化, iso 校验了 md5 ,安装的时候没有联网,安装完成后关闭 ssh 更新,
所有用户密码重新在服务器上生成, root 密码长达 30 位,且没有开启 root 的 ssh 登录。
主要的是每次被黑掉都伴随这重启...
第 1 条附言 · 2016-03-11 23:18:05 +08:00
你们太热情了,这么多人我就不一个一个 @了~
基本就像很多人猜的一样,机器上确实有集成 IPMI ,而且我们也非常运气好的在 2 选 1 中插对了网口,毕竟只有一个网口集成了 ipmi 。我们只是在理论上知道有能够远程管理的接口,但是从没有想过这个东西是默认开启的。所以今天插上网线后我们就找到了 ipmi 多了一个管理员用户.....
所以入侵利用了 ipmi 基本没跑了。几经周折重置了 ipmi 的配置,因为各种修改 admi 密码都无法用 ipmi 接口连接,最后还是在服务器官网上找到了更加底层的管理工具,重置后才完成配置。
这里我要抱怨一句,既然 ipmi 的管理员密码可以在操作系统里修改,而且又不用验证之前的密码,初始密码就给个强度高一点的随机密码嘛。
最后讲一个比较好玩的事情,大家乐和一下。
对方黑进来之后大概就是重起时候绕过 root 密码,然后新建了一个 root 用户。然而对方比较粗糙,没有注意到服务器是禁止 root 通过 ssh 登陆的.... 然后我们在日志里看到了很多的登陆失败记录,尝试的用户名就是他新建的那个...
基本就像很多人猜的一样,机器上确实有集成 IPMI ,而且我们也非常运气好的在 2 选 1 中插对了网口,毕竟只有一个网口集成了 ipmi 。我们只是在理论上知道有能够远程管理的接口,但是从没有想过这个东西是默认开启的。所以今天插上网线后我们就找到了 ipmi 多了一个管理员用户.....
所以入侵利用了 ipmi 基本没跑了。几经周折重置了 ipmi 的配置,因为各种修改 admi 密码都无法用 ipmi 接口连接,最后还是在服务器官网上找到了更加底层的管理工具,重置后才完成配置。
这里我要抱怨一句,既然 ipmi 的管理员密码可以在操作系统里修改,而且又不用验证之前的密码,初始密码就给个强度高一点的随机密码嘛。
最后讲一个比较好玩的事情,大家乐和一下。
对方黑进来之后大概就是重起时候绕过 root 密码,然后新建了一个 root 用户。然而对方比较粗糙,没有注意到服务器是禁止 root 通过 ssh 登陆的.... 然后我们在日志里看到了很多的登陆失败记录,尝试的用户名就是他新建的那个...
 |
1
VmuTargh 2016-03-10 20:42:08 +08:00
应该是物理接触
|
 |
2
xuboying 2016-03-10 20:44:52 +08:00 via Android
机房掉电?
|
 |
3
algas OP |
 |
4
ChangeTheWorld 2016-03-10 21:23:34 +08:00
BIOS 中的 Anti Theif 之类的功能估计可以实现,记得 windows 还会生成几个删不掉的.dll 文件,联网就上报机器位置什么的,我就猜测下,楼主可以进服务器 BIOS 看看,不行就刷下 BIOS ?
|
 |
5
tobylee 2016-03-10 21:39:01 +08:00
重启到单用户,操作用户密码或权限,再正常重启,然后...,应该有物理接触吧
|
|
6
xuboying 2016-03-10 21:54:16 +08:00 via Android
我有个奇葩的 idea ,让显示器开着 tail 日志,再拿个摄像机对着屏幕
|
 |
7
OliveZh 2016-03-10 22:08:53 +08:00
等待高手解答~
|
 |
8
nicevar 2016-03-10 22:11:20 +08:00
难道是神秘莫测的 badBIOS 出现了?
楼主安装完后发现再次感染期间有联网或者连接其他设备没,没有的话怀疑 bios ,最后排除法,这个很有意思,找出来写篇文章,表示关注 |
 |
9
winkidney 2016-03-10 22:13:11 +08:00  1
IPMI ?
|
 |
10
tracert 2016-03-10 22:52:23 +08:00
还有一种可能性,带木马的 ssh client ,看了 LZ 的上一贴,虽然禁止了 root 登录,但有 sudo......
|
 |
11
BSD 2016-03-10 22:58:07 +08:00
服务器主板用的是传统的 BIOS 还是 UEFI ?后者我也没用过,不过据说其实就是个小型的 Linux ,搞点恶意代码改写硬盘上的文件系统,应该是有可能的。。。
|
|
12
BSD 2016-03-10 23:00:04 +08:00
另外,建议在机柜上装个网络摄像头,有可能是机房工作人员或其它能物理接触机器的人员搞鬼。
|
 |
13
janxin 2016-03-10 23:03:22 +08:00
你服务器开了什么服务....是不是那个服务有问题?不可能只开放了个 22 端口吧,如果是,再怀疑是硬件后门不迟。
另外,不用非官方源试试? |
|
15
algas OP @ChangeTheWorld
如果还需要重装系统的话,肯定要去看 bios 了,不过刷服务器 bios 还是满虚的 @tobylee @BSD 机房就是我们自己的,我觉得内部人士动手脚的可能性很小很小,因为有这个能力的人已经是管理员了,其他都是 windowsers ...,而且黑进来后的一些细节也暗示应该是外来入侵 服务器用的 BIOS ,没有 UEFI @tracert 管理员用的 ssh 是源里的,普通用户有可能会使用被加了后门的 ssh-client ,但是对一个很好更新的系统本地提权... 只能说不能否认这种可能性 @janxin 只开了 22 端口,真的,这个服务器是做数值计算的,目前上面没有任何盗版甚至私有软件,准确的说我们目前只装了 gcc 系列 @nicevar 安装好(更新和安全配置都完成)之后静置了 24 小时,这段时间有网络连接, sshd 开启,之后发出了两个普通用户密码,其中一个是 linux user , 20 小时内发现服务器重起,多了一个 root 用户。 |
 |
16
shiny 2016-03-11 00:02:18 +08:00
你本机有没有木马
|
 |
17
cevincheung 2016-03-11 00:08:18 +08:00
如果换个 IP 试试咧?
|
|
18
algas OP @shiny
应该没有,上次服务器被黑之后就仔细检查过自己的电脑, 没有多余用户,没有奇怪进程,没有多余的网络连接, last 里没有奇怪记录, 最重要的是,如果管理员的电脑被黑了,那么应该还有其他服务器被黑才对 |
|
19
algas OP @cevincheung
恩,这个治标不治本啊,迟早会被再被对方扫到吧 |
|
20
BSD 2016-03-11 00:27:20 +08:00
把这台服务器配置为内网 ip ,另搞一台 pc 配外网 ip 再反向映射到这台服务器的内网 ip 上,然后在 PC 上持续抓包,看到底是不是真的是外网攻击。
我还是比较怀疑是你们内部人员搞鬼,或者是恶作剧调戏你,或者是要整你。。。。 |
|
21
algas OP |
 |
23
Do 2016-03-11 01:21:30 +08:00
全盘加密,/boot 扔 U 盘,再能中招基本可以排除物理接触了。
|
 |
24
Flyshit 2016-03-11 01:22:04 +08:00 via Android
如果在重装后到再次感染的这段时间里有联通互联网的话,说不定有可能是某些牛人挖到了某重量级 0day 然后利用,楼主快去做个蜜罐,搞到这 0day 就发了
|
 |
25
hjc4869 2016-03-11 01:22:34 +08:00
ssh 只对内网开放,用硬件 VPN 连入,并且留下详细的访问记录。
|
 |
26
dzxx36gyy 2016-03-11 01:40:50 +08:00 via Android
@algas IPMI 设置好……限制访问地址必须为内网(或者特定的,比如某台跳板机的 ip),然后如果要使用就挂 vpn 进内网连接……话说你们是真的不知道采购的服务器有 IPMI 模块吗……
|
 |
27
xuhaoyangx 2016-03-11 01:49:27 +08:00
@Flyshit
+1 专门给这台机器做个蜜罐,一直监测 |
 |
28
xhat 2016-03-11 01:56:14 +08:00
考虑下 mbr
|
 |
29
esxivistawrt 2016-03-11 06:34:16 +08:00
是不是服务器上的服务有漏洞?
|
 |
30
ericls 2016-03-11 06:58:32 +08:00
我很好奇服务器上除了 sshd 之外 还有什么服务
|
 |
31
jimzhong 2016-03-11 07:19:33 +08:00
可以尝试在防火墙上 log 一下访问 IPMI 的记录。
|
 |
32
sweelia 2016-03-11 07:34:20 +08:00 via Android
记得 Ubuntu 出了个 overlayfs 的漏洞,可以普通用户直接提权 root
|
 |
34
gpw1987 2016-03-11 08:46:12 +08:00 1
怎么感觉放大片呀,我觉得 linux 越来越难搞了,希望楼主找到以后一定要公布下
|
 |
35
tairan2006 2016-03-11 11:26:35 +08:00
只有一台的话,服务器卖了,买台新的。。
|
|
36
winkidney 2016-03-11 11:33:27 +08:00
@algas 这个是网卡自带的特性,部分服务器网卡会有,默认没有密码保护,相当于硬件 vnc 。不知道 lz 最后查到的结果如何?
|
 |
37
skylancer 2016-03-11 11:51:02 +08:00
我怎么感觉是 BIOSKIT 啊..
当年 DELL 那单事,然后更早更早之前其实也有人弄出来,不过是个 Demo(也就公开的版本),至于私底下的嘛... |
 |
39
jsyangwenjie 2016-03-11 13:04:48 +08:00
|
 |
40
aalska 2016-03-11 13:06:33 +08:00
只能说 牛逼!
|
 |
41
jemyzhang 2016-03-11 13:15:54 +08:00
坐等原因,希望楼主更新
|
 |
42
hackevin 2016-03-11 13:38:00 +08:00
没有物理接触为什么要重启,演员?机房没有监控吗?
|
 |
43
9hills 2016-03-11 13:43:49 +08:00
我赌是软件原因
|
 |
44
jkneedout 2016-03-11 13:53:12 +08:00 via iPhone
服务器应该有带 bmc 吧,检查下 bmc 是不是被黑了
|
 |
45
lutla 2016-03-11 13:55:49 +08:00
有点神奇啊,围观。
|
 |
46
HackerOO7 2016-03-11 14:30:07 +08:00
BMC 的锅,以前在谷歌上就搜到过一个没有修改默认密码的 IPMI ,直接就进去了
|
 |
48
popok 2016-03-11 14:36:42 +08:00
有点走近科学的味道了,不错
|
 |
49
wowpanda 2016-03-11 17:21:47 +08:00
我想起了之前 V 站上有个哥们发帖求没有后门的菜刀
|
 |
50
murusu 2016-03-11 17:31:00 +08:00
记录一下先,楼主有新的情况记得发上来看看
|
 |
51
ihciah 2016-03-11 17:48:03 +08:00
我感觉是楼主的 key 被偷了。。
|
 |
52
flexbug 2016-03-11 17:49:04 +08:00
服务器补丁打全了吗
|
|
53
flexbug 2016-03-11 17:49:37 +08:00
还有个方法,找个安全公司做渗透测试
|
|
54
janxin 2016-03-11 17:57:09 +08:00
物理主机倒是确实有可能是 BMC 的锅
|
 |
56
onice 2016-03-11 22:54:08 +08:00
不排除物理接触的可能。但这种可能性太小了。
每次中招都伴随着重启,我倒觉得这很可能是远程溢出。 以前做测试的时候发现有关过类似的漏洞,那次对方是 win 服务器,开了远程桌面连接。直接用远程溢出让对方蓝屏,服务器拒绝服务。想必从中注入恶意代码也并非难事。 楼主查一下服务器上开放的各个服务的版本号,搜索下这些版本号,看看有没有爆漏洞。无论是 ssh , web 容器,还是数据库什么的。尽量把这些东西升级到最新版本,并让每个服务用不同的低权限账户运行。用最低权限的方法,权限分配尽可能的小。 还有就是你的网站了,网站有漏洞的话服务器也会受影响,例如攻击者拿到 webshell 传个本地提权的工具上来,所以系统内核也要升级。 一定要尽可能的低权限:例如数据库只需要读就行了,那么就只开 r 权限,并且把帐号限定到那一个目录。 selinux 都被玩坏了。。这可是只有 root 才能干的事情。密码是否弱口令了? 如果是 0day ,除了等补丁,那就真没办法了。。。 |
|
57
algas OP |
 |
58
gamexg 2016-03-12 08:58:17 +08:00
最后的结果真的相当于硬件后门...
|
|
59
gpw1987 2016-03-12 10:34:02 +08:00
硬件后门,这跟我以前看过的小说巅峰黑客非常的像呀,哈哈
|
 |
60
realpg 2016-03-12 11:54:46 +08:00
@algas 数值计算的,这种机器为何非得直连公网且进行系统更新开放一堆乱七八糟服务?
是你们单位自己家机房吧? 我教你个简单玩法。 1. 买个 TPLINK 最便宜的路由器,几十块钱足够了,把路由器接公网,配好外网 IP ,开放 web 管理远程访问( WAN 口访问管理), tplink 的密码设置为 20 位以上的 2. 把你的计算服务器放到这个这个路由器下面去, NAT 上网,如果你的计算程序需要监听端口,从路由器上做端口映射 3. 需要 ssh 远程登录的时候,先上 TPLINK ,建立一个端口映射,随机的用三万以上高端口,映射到服务器 22 ,用完删掉 其实,这就是搭建了一个小型的防火墙而已…… |
 |
61
caola 2016-03-12 14:31:18 +08:00
是不是 PuTTY 的问题呢,现在 PuTTY 官方网的下载地址:
http://tartarus.org/~simon/putty-snapshots/x86/putty.zip https://tartarus.org/~simon/putty-snapshots/x86/putty.zip 看清楚了 http 和 https 下载的文件 md5 值可能会不同, 可能你下载 http 的是被劫持过的,再或者你在国外下载的的,也有相当一部分被值了后门。 所以以后下载软件,尽量用 https 的(前提是支持) |
 |
62
masterqing 2016-03-12 15:48:56 +08:00
putty 官网不是 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 吗????
|
|
63
nicevar 2016-03-12 21:11:41 +08:00
安装后联过网还 ssh 了就不用先怀疑硬件了
|
|
64
algas OP @realpg 我记得你 :-D
我们确实没有开任何其他的服务,端口只有 22 开放了。 之前我们考虑过在服务器前面放一个千兆路由,加速服务器间文件传输,也有利于安全(主要是对抗 arp 病毒)。 但是基于两个原因,我们没有这样作。 1. 由于历史原因,我们的服务器中有一台帮定了 IP ,固定 IP 还是一个非常重要的资源,在外网能够访问到服务器还是很重要的。如果需要放路由,就需要修改路由 MAC ,在路由上做端口映射,而且机房里还有一个托管服务器,那么就需要交换机、路由、交换机,需要重新布线,手续有点多。如果哪天主页要迁回之前帮定 ip 的服务器,那么又会来很多问题。 2. 安全问题不在于暴力破解 ssh 登陆密码,而是 windows 用户的电脑安全。前置路由对已经获得用户名和密码的情况效果估计不太大,服务器间文件传输速度提升并不迫切。 |
Select Language