这是一个创建于 1082 天前的主题,其中的信息可能已经有所发展或是发生改变。
在宿舍放了一个 OpenWRT 路由器,为了方便远程管理开了 ssh 传入。弱点就是单 root 用户,而且是密码登录。 原本心想是在学校内网就没有太大事情,结果今天就出事了。
想用 ps 命令看一下后台进程的,看到了这个:
ash -c /bin/sh -c 'P=python3; $P -V 2>/dev/null || P=python; exec "$P" -c '"'"'import sys, os; verbosity=0; sys.stdin = os.fdopen(0, "rb"); exec(compile(sys.stdin.read(1486), "assembler.py", "exec"))'"'"''
绝对是通过什么手段注入进来的,现在大学内网环境也不安全啊,感叹。 路由器是 mips 架构的,flash 很小,目前还有 124K 。感觉是对方没能把后面的脚本塞进去,放弃了,上面的进程还跑着。
Filesystem Size Used Available Use% Mounted on
rootfs 5.2M 5.1M 124.0K 98% /
SSH 连接日志也没有,用 htop 看到进程是晚六点启动的。
向各位大神请教下这个 one-liner 有什么含义。
 |
1
ccino 2021-11-29 19:27:15 +08:00 via Android
不懂,帮不了楼主。。。
|
 |
2
iceheart 2021-11-29 19:32:53 +08:00 via Android
看父进程 id,跟你的 ps 命令是同一个,也就是 bash 进程
|
 |
3
wevsty 2021-11-29 19:36:19 +08:00
大概就是从 stdin 读了一个什么东东然后执行起来了。
|
 |
4
eason1874 2021-11-29 19:37:25 +08:00  3
这就是你自己在用的 sshuttle 吧。。。
不过学校这种地方的内网确实不安全的,大部分大学生的电脑约等于养蛊机器,得注意防护 |
 |
5
mikewang OP @iceheart 还真不是,那个 ash 父进程是 24085 的 dropbear (提供 ssh 服务的),和我不在同一个父进程下面。
|
 |
7
sola97 2021-11-29 19:45:44 +08:00 1
 破案了 |
 |
8
fan88 2021-11-29 19:59:15 +08:00
openwrt 也没这么脆弱。除非弱口令,一般也没这么多漏洞可以打
|
 |
9
Marionic0723 2021-11-29 21:48:15 +08:00 via Android
关闭外网的权限,用 zerotier 组一个虚拟局域网用吧,需要的时候,手机接入就能直接访问。
|
 |
10
yaott2020 2021-11-29 22:03:05 +08:00
openwrt 别用 openwrt 做 ssid ,密码也是 1234567890 ,ssh 密码也简单,简直找死。遇到过一个,直接黑进 ssh ,还好遇到我。。
padavan 和上面一样 |
 |
11
rayhy 2021-11-30 07:28:38 +08:00 via Android
大学内网病毒更是肆虐无阻…我有管理着实验室服务器,天天最怕的事情就是中毒。搞到最后,ssh 端口换了,密码、root 登录关了,每个机器只剩下一个用户了。甚至有的机器只能 zerotier 连上。就这样也慌的一 B
|
 |
12
icegaze 2021-11-30 08:59:18 +08:00 via Android
@rayhy 可以用证书啊,关闭密码登录,
网上随意逛的人搞出来对应你机器的正确的证书那基本是不可能的… |
 |
13
lB2cGz9OQ1agw7XK 2021-11-30 10:14:42 +08:00
有内鬼
|
 |
14
andyskaura 2021-11-30 11:58:55 +08:00
@szqhades 内鬼竟是我自己 23333
|
 |
15
flynaj 2021-11-30 16:45:04 +08:00 via Android
弱口令,默认端口,什么系统都可能被黑。
|
Select Language