V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mikewang
V2EX  ›  信息安全

在大学宿舍的 OpenWRT 路由器被挂马了?

  •  
  •   mikewang · 2021-11-29 19:21:29 +08:00 · 5226 次点击
    这是一个创建于 1113 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在宿舍放了一个 OpenWRT 路由器,为了方便远程管理开了 ssh 传入。弱点就是单 root 用户,而且是密码登录。 原本心想是在学校内网就没有太大事情,结果今天就出事了。

    想用 ps 命令看一下后台进程的,看到了这个:

    ash -c /bin/sh -c 'P=python3; $P -V 2>/dev/null || P=python; exec "$P" -c '"'"'import sys, os; verbosity=0; sys.stdin = os.fdopen(0, "rb"); exec(compile(sys.stdin.read(1486), "assembler.py", "exec"))'"'"''
    

    绝对是通过什么手段注入进来的,现在大学内网环境也不安全啊,感叹。 路由器是 mips 架构的,flash 很小,目前还有 124K 。感觉是对方没能把后面的脚本塞进去,放弃了,上面的进程还跑着。

    Filesystem                Size      Used Available Use% Mounted on
    rootfs                    5.2M      5.1M    124.0K  98% /
    

    SSH 连接日志也没有,用 htop 看到进程是晚六点启动的。

    向各位大神请教下这个 one-liner 有什么含义。

    第 1 条附言  ·  2021-11-29 19:57:51 +08:00
    感谢 @eason1874 、 @sola97 ,刚刚彻查了一下,确实是我自己在 Tmux 里面开的 shuttle 造成的。没想到 shuttle 还会调用远程机器的 Python 。

    不过在 ps 里面看到不认识的一句话代码还是很吓人的,第一反应就是被黑了。想到上面还有我挂着的一块重要的硬盘,顿时慌了手脚 hhhh
    15 条回复    2021-11-30 16:45:04 +08:00
    ccino
        1
    ccino  
       2021-11-29 19:27:15 +08:00 via Android
    不懂,帮不了楼主。。。
    iceheart
        2
    iceheart  
       2021-11-29 19:32:53 +08:00 via Android
    看父进程 id,跟你的 ps 命令是同一个,也就是 bash 进程
    wevsty
        3
    wevsty  
       2021-11-29 19:36:19 +08:00
    大概就是从 stdin 读了一个什么东东然后执行起来了。
    eason1874
        4
    eason1874  
       2021-11-29 19:37:25 +08:00   ❤️ 3
    这就是你自己在用的 sshuttle 吧。。。

    不过学校这种地方的内网确实不安全的,大部分大学生的电脑约等于养蛊机器,得注意防护
    mikewang
        5
    mikewang  
    OP
       2021-11-29 19:39:19 +08:00
    @iceheart 还真不是,那个 ash 父进程是 24085 的 dropbear (提供 ssh 服务的),和我不在同一个父进程下面。
    mikewang
        6
    mikewang  
    OP
       2021-11-29 19:40:36 +08:00
    @eason1874 确实有用 sshuttle ,我去看看
    sola97
        7
    sola97  
       2021-11-29 19:45:44 +08:00   ❤️ 1
    破案了
    fan88
        8
    fan88  
       2021-11-29 19:59:15 +08:00
    openwrt 也没这么脆弱。除非弱口令,一般也没这么多漏洞可以打
    Marionic0723
        9
    Marionic0723  
       2021-11-29 21:48:15 +08:00 via Android
    关闭外网的权限,用 zerotier 组一个虚拟局域网用吧,需要的时候,手机接入就能直接访问。
    yaott2020
        10
    yaott2020  
       2021-11-29 22:03:05 +08:00
    openwrt 别用 openwrt 做 ssid ,密码也是 1234567890 ,ssh 密码也简单,简直找死。遇到过一个,直接黑进 ssh ,还好遇到我。。

    padavan 和上面一样
    rayhy
        11
    rayhy  
       2021-11-30 07:28:38 +08:00 via Android
    大学内网病毒更是肆虐无阻…我有管理着实验室服务器,天天最怕的事情就是中毒。搞到最后,ssh 端口换了,密码、root 登录关了,每个机器只剩下一个用户了。甚至有的机器只能 zerotier 连上。就这样也慌的一 B
    icegaze
        12
    icegaze  
       2021-11-30 08:59:18 +08:00 via Android
    @rayhy 可以用证书啊,关闭密码登录,
    网上随意逛的人搞出来对应你机器的正确的证书那基本是不可能的…
    lB2cGz9OQ1agw7XK
        13
    lB2cGz9OQ1agw7XK  
       2021-11-30 10:14:42 +08:00
    有内鬼
    andyskaura
        14
    andyskaura  
       2021-11-30 11:58:55 +08:00
    @szqhades 内鬼竟是我自己 23333
    flynaj
        15
    flynaj  
       2021-11-30 16:45:04 +08:00 via Android
    弱口令,默认端口,什么系统都可能被黑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4639 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:39 · PVG 13:39 · LAX 21:39 · JFK 00:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.