 |
1
VmuTargh Mar 10, 2016
应该是物理接触
|
 |
2
xuboying Mar 10, 2016 via Android
机房掉电?
|
 |
4
ChangeTheWorld Mar 10, 2016
BIOS 中的 Anti Theif 之类的功能估计可以实现,记得 windows 还会生成几个删不掉的.dll 文件,联网就上报机器位置什么的,我就猜测下,楼主可以进服务器 BIOS 看看,不行就刷下 BIOS ?
|
 |
5
tobylee Mar 10, 2016
重启到单用户,操作用户密码或权限,再正常重启,然后...,应该有物理接触吧
|
|
6
xuboying Mar 10, 2016 via Android
我有个奇葩的 idea ,让显示器开着 tail 日志,再拿个摄像机对着屏幕
|
 |
7
OliveZh Mar 10, 2016
等待高手解答~
|
 |
8
nicevar Mar 10, 2016
难道是神秘莫测的 badBIOS 出现了?
楼主安装完后发现再次感染期间有联网或者连接其他设备没,没有的话怀疑 bios ,最后排除法,这个很有意思,找出来写篇文章,表示关注 |
 |
9
winkidney Mar 10, 2016  1
IPMI ?
|
 |
10
tracert Mar 10, 2016
还有一种可能性,带木马的 ssh client ,看了 LZ 的上一贴,虽然禁止了 root 登录,但有 sudo......
|
 |
11
BSD Mar 10, 2016
服务器主板用的是传统的 BIOS 还是 UEFI ?后者我也没用过,不过据说其实就是个小型的 Linux ,搞点恶意代码改写硬盘上的文件系统,应该是有可能的。。。
|
|
12
BSD Mar 10, 2016
另外,建议在机柜上装个网络摄像头,有可能是机房工作人员或其它能物理接触机器的人员搞鬼。
|
 |
13
janxin Mar 10, 2016
你服务器开了什么服务....是不是那个服务有问题?不可能只开放了个 22 端口吧,如果是,再怀疑是硬件后门不迟。
另外,不用非官方源试试? |
 |
15
algas OP @ChangeTheWorld
如果还需要重装系统的话,肯定要去看 bios 了,不过刷服务器 bios 还是满虚的 @tobylee @BSD 机房就是我们自己的,我觉得内部人士动手脚的可能性很小很小,因为有这个能力的人已经是管理员了,其他都是 windowsers ...,而且黑进来后的一些细节也暗示应该是外来入侵 服务器用的 BIOS ,没有 UEFI @tracert 管理员用的 ssh 是源里的,普通用户有可能会使用被加了后门的 ssh-client ,但是对一个很好更新的系统本地提权... 只能说不能否认这种可能性 @janxin 只开了 22 端口,真的,这个服务器是做数值计算的,目前上面没有任何盗版甚至私有软件,准确的说我们目前只装了 gcc 系列 @nicevar 安装好(更新和安全配置都完成)之后静置了 24 小时,这段时间有网络连接, sshd 开启,之后发出了两个普通用户密码,其中一个是 linux user , 20 小时内发现服务器重起,多了一个 root 用户。 |
 |
16
shiny PRO 你本机有没有木马
|
 |
17
cevincheung Mar 11, 2016
如果换个 IP 试试咧?
|
|
18
algas OP @shiny
应该没有,上次服务器被黑之后就仔细检查过自己的电脑, 没有多余用户,没有奇怪进程,没有多余的网络连接, last 里没有奇怪记录, 最重要的是,如果管理员的电脑被黑了,那么应该还有其他服务器被黑才对 |
|
19
algas OP @cevincheung
恩,这个治标不治本啊,迟早会被再被对方扫到吧 |
|
20
BSD Mar 11, 2016
把这台服务器配置为内网 ip ,另搞一台 pc 配外网 ip 再反向映射到这台服务器的内网 ip 上,然后在 PC 上持续抓包,看到底是不是真的是外网攻击。
我还是比较怀疑是你们内部人员搞鬼,或者是恶作剧调戏你,或者是要整你。。。。 |
 |
23
Do Mar 11, 2016
全盘加密,/boot 扔 U 盘,再能中招基本可以排除物理接触了。
|
 |
24
Flyshit Mar 11, 2016 via Android
如果在重装后到再次感染的这段时间里有联通互联网的话,说不定有可能是某些牛人挖到了某重量级 0day 然后利用,楼主快去做个蜜罐,搞到这 0day 就发了
|
 |
25
hjc4869 Mar 11, 2016
ssh 只对内网开放,用硬件 VPN 连入,并且留下详细的访问记录。
|
 |
26
dzxx36gyy Mar 11, 2016 via Android
@algas IPMI 设置好……限制访问地址必须为内网(或者特定的,比如某台跳板机的 ip),然后如果要使用就挂 vpn 进内网连接……话说你们是真的不知道采购的服务器有 IPMI 模块吗……
|
 |
27
xuhaoyangx Mar 11, 2016
@Flyshit
+1 专门给这台机器做个蜜罐,一直监测 |
 |
28
xhat Mar 11, 2016
考虑下 mbr
|
 |
29
esxivistawrt Mar 11, 2016
是不是服务器上的服务有漏洞?
|
 |
30
ericls Mar 11, 2016
我很好奇服务器上除了 sshd 之外 还有什么服务
|
 |
31
jimzhong Mar 11, 2016
可以尝试在防火墙上 log 一下访问 IPMI 的记录。
|
 |
32
sweelia Mar 11, 2016 via Android
记得 Ubuntu 出了个 overlayfs 的漏洞,可以普通用户直接提权 root
|
 |
34
gpw1987 Mar 11, 2016 1
怎么感觉放大片呀,我觉得 linux 越来越难搞了,希望楼主找到以后一定要公布下
|
 |
35
tairan2006 Mar 11, 2016
只有一台的话,服务器卖了,买台新的。。
|
 |
37
skylancer Mar 11, 2016
我怎么感觉是 BIOSKIT 啊..
当年 DELL 那单事,然后更早更早之前其实也有人弄出来,不过是个 Demo(也就公开的版本),至于私底下的嘛... |
 |
39
jsyangwenjie Mar 11, 2016
|
 |
40
aalska Mar 11, 2016
只能说 牛逼!
|
 |
41
jemyzhang Mar 11, 2016
坐等原因,希望楼主更新
|
 |
42
hackevin Mar 11, 2016
没有物理接触为什么要重启,演员?机房没有监控吗?
|
 |
43
9hills Mar 11, 2016
我赌是软件原因
|
 |
44
jkneedout Mar 11, 2016 via iPhone
服务器应该有带 bmc 吧,检查下 bmc 是不是被黑了
|
 |
45
lutla Mar 11, 2016
有点神奇啊,围观。
|
 |
46
8rB61FLBPVSxW2C8 Mar 11, 2016
BMC 的锅,以前在谷歌上就搜到过一个没有修改默认密码的 IPMI ,直接就进去了
|
 |
48
popok Mar 11, 2016
有点走近科学的味道了,不错
|
 |
49
wowpanda Mar 11, 2016
我想起了之前 V 站上有个哥们发帖求没有后门的菜刀
|
 |
50
murusu Mar 11, 2016
记录一下先,楼主有新的情况记得发上来看看
|
 |
51
ihciah Mar 11, 2016
我感觉是楼主的 key 被偷了。。
|
 |
52
flexbug Mar 11, 2016
服务器补丁打全了吗
|
|
53
flexbug Mar 11, 2016
还有个方法,找个安全公司做渗透测试
|
|
54
janxin Mar 11, 2016
物理主机倒是确实有可能是 BMC 的锅
|
 |
56
onice Mar 11, 2016
不排除物理接触的可能。但这种可能性太小了。
每次中招都伴随着重启,我倒觉得这很可能是远程溢出。 以前做测试的时候发现有关过类似的漏洞,那次对方是 win 服务器,开了远程桌面连接。直接用远程溢出让对方蓝屏,服务器拒绝服务。想必从中注入恶意代码也并非难事。 楼主查一下服务器上开放的各个服务的版本号,搜索下这些版本号,看看有没有爆漏洞。无论是 ssh , web 容器,还是数据库什么的。尽量把这些东西升级到最新版本,并让每个服务用不同的低权限账户运行。用最低权限的方法,权限分配尽可能的小。 还有就是你的网站了,网站有漏洞的话服务器也会受影响,例如攻击者拿到 webshell 传个本地提权的工具上来,所以系统内核也要升级。 一定要尽可能的低权限:例如数据库只需要读就行了,那么就只开 r 权限,并且把帐号限定到那一个目录。 selinux 都被玩坏了。。这可是只有 root 才能干的事情。密码是否弱口令了? 如果是 0day ,除了等补丁,那就真没办法了。。。 |
|
57
algas OP |
 |
58
gamexg Mar 12, 2016
最后的结果真的相当于硬件后门...
|
|
59
gpw1987 Mar 12, 2016
硬件后门,这跟我以前看过的小说巅峰黑客非常的像呀,哈哈
|
 |
60
realpg PRO @algas 数值计算的,这种机器为何非得直连公网且进行系统更新开放一堆乱七八糟服务?
是你们单位自己家机房吧? 我教你个简单玩法。 1. 买个 TPLINK 最便宜的路由器,几十块钱足够了,把路由器接公网,配好外网 IP ,开放 web 管理远程访问( WAN 口访问管理), tplink 的密码设置为 20 位以上的 2. 把你的计算服务器放到这个这个路由器下面去, NAT 上网,如果你的计算程序需要监听端口,从路由器上做端口映射 3. 需要 ssh 远程登录的时候,先上 TPLINK ,建立一个端口映射,随机的用三万以上高端口,映射到服务器 22 ,用完删掉 其实,这就是搭建了一个小型的防火墙而已…… |
 |
61
caola Mar 12, 2016
是不是 PuTTY 的问题呢,现在 PuTTY 官方网的下载地址:
http://tartarus.org/~simon/putty-snapshots/x86/putty.zip https://tartarus.org/~simon/putty-snapshots/x86/putty.zip 看清楚了 http 和 https 下载的文件 md5 值可能会不同, 可能你下载 http 的是被劫持过的,再或者你在国外下载的的,也有相当一部分被值了后门。 所以以后下载软件,尽量用 https 的(前提是支持) |
 |
62
masterqing Mar 12, 2016
putty 官网不是 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 吗????
|
|
63
nicevar Mar 12, 2016
安装后联过网还 ssh 了就不用先怀疑硬件了
|
|
64
algas OP @realpg 我记得你 :-D
我们确实没有开任何其他的服务,端口只有 22 开放了。 之前我们考虑过在服务器前面放一个千兆路由,加速服务器间文件传输,也有利于安全(主要是对抗 arp 病毒)。 但是基于两个原因,我们没有这样作。 1. 由于历史原因,我们的服务器中有一台帮定了 IP ,固定 IP 还是一个非常重要的资源,在外网能够访问到服务器还是很重要的。如果需要放路由,就需要修改路由 MAC ,在路由上做端口映射,而且机房里还有一个托管服务器,那么就需要交换机、路由、交换机,需要重新布线,手续有点多。如果哪天主页要迁回之前帮定 ip 的服务器,那么又会来很多问题。 2. 安全问题不在于暴力破解 ssh 登陆密码,而是 windows 用户的电脑安全。前置路由对已经获得用户名和密码的情况效果估计不太大,服务器间文件传输速度提升并不迫切。 |
Select Language