一、事情是这样的,这几天在给公司测试开源jumpserver,把自己的一台云主机放上去测试了。照理说跳板机上的服务器登录都是使用秘钥登录才会更加安全(不设密码的话jumpserver默认是秘钥登录)。由于经理提了一个需求,就是jumpserver上推送给服务器的系统用户要随时改动密码能生效,又因为是自己的机子,在测试的时候,就在跳板机web端建立了一个系统用户test,密码也使用了简单的test123(关键为了测试权限还给加入了sudo列),各种测试了一天后本想有时间的时候继续测试,没想到最近腾讯云频繁推送警告给我,遭受黑客暴力破解和异地登录的邮件给我,而且登录ip都是国外的,198.1.105.131、192.187.103.4、103.89.89.205、193.201.224.236...。这时我意识到我的机子百分百已经被黑了,还好没什么业务在上面,就自己的一个小网站。确定了是黑客所为之后,在大神的帮助下,接着就是各种侦查。
二、查找原因。
(1)首先使用netstat -auntp,查看到有一个端口很可疑,查看了一下连接ip是法国的,那肯定是这个东西了。
(2)接着 ps -ef |grep 4352 查到对应的是test运行的一个可疑进程。
(3)再查看一下对应的/home/test目录,多出了这两个文件,用cat查看了一下,没看明白。
(4)最后查看了一下.ssh/authoried_keys,果然还留了以qantcby@yahoo.com结尾的公钥,方便test被修改密码后下次登录。
(5)一番查阅和询问之后,才知道原来是被黑客拿来挖矿了。这是一种虚拟币,门罗币(Monero,代号XMR)是一个具有高度保密性的加密虚拟货币,它着重于隐私、分权和可扩展性。Monero基于CryptoNote协议,使用CryptoNight算法进行工作证明(挖矿算法)。
(5)到此可知最大的问题肯定是出在test这个用户上,所以以后真的不敢用弱密码了,还有ssh不能用默认端口。T-T
(6)本来想重装的,后面大神让我把test密码改了,吧test公钥删除了,重启之后,过几天看看还有没有问题。
参考链接:
https://blog.csdn.net/jiangjianjun716/article/details/79535232
https://cloud.tencent.com/document/product/296/9604