说出来可能多少有点丢人,对,本站——黑色自由的服务器被黑了。。。同时被黑的还有另外两台服务器。事情的起因是这样的:
今天凌晨,收到企鹅家的短信提醒,说是在服务器上发现了可疑文件,二话不说到公司后就登陆上去看了一下,嗯,果然,眼熟的挖矿病毒。
/tmp/.font-unix目录下,mine,init,hide,各种齐全。直接清理一下,该杀的杀,该删的删,顿时CPU资源就降下来了,mine这个进程吃完了所有CPU资源。
清理完之后,随手看了一下端口,卧槽,这是个什么玩艺,怎么服务器连到一些奇怪的IP。继续查吧,原来是个init程序,删了删了。这下终于系统又恢复正常了。
为了防止有些其它后门什么的,又去把sshd_config检查了一下,PAM关了,允许root登陆关了,再看了下没有可疑的证书什么的,最后,firewalld装上,策略搞一搞。
三台服务器,同样的操作,这根本就是密码泄露啊卧槽:
180.246.62.19 Fri Jul 22 05:24 – 05:32 (00:07)
180.246.62.19 Fri Jul 22 05:22 – 05:32 (00:09)
180.246.62.19 Fri Jul 22 05:20 – 05:32 (00:11)
看看,这三条记录,间隔2分钟分别登陆3台服务器,这根本就不是漏洞造成的,这根本就是密码泄露,虽然我3台服务器用户名密码一样,但这么精确的登陆,根本就是连我服务器地址都拿到了。
这样一来,什么样的场景能同时拿到我服务器密码和地址?肯定是工作单位,家里。
工作单位,嗯,有人在内网sniffer,家里,破长城宽带,也有可能被sniffer,还有就是,黑色自由用的特别版SSH工具,比如SecureCRT,Xshell。
先改个密码吧,然后再考虑考虑要不要上证书。这也太操蛋了。