V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
quill
V2EX  ›  Linux

Linux 服务器 ssh publickey 入侵

  •  
  •   quill · 2020-09-03 15:13:17 +08:00 · 3961 次点击
    这是一个创建于 1538 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公网上一台 centos7 的服务器被来自纽约的 ip 入侵并植入了 xm64 挖矿木马,在 public 用户(同事自建的用户)下运行,幸好不是 root 。

    清理了木马后,排查了下,在 secure 日志中发现是用户 public 通过 publickey 密钥登录之后搞的(登录时间和木马生成时间一致)。

    public 用户目录的.ssh 目录下有 authorized_keys,有经询问同事,并没有建 public 用户的密钥登陆,并且登录密码很复杂。

    服务器上跑着 oracle 、supervisord 、zabbix 客户端、urbackup 客户端,但这些程序的端口都被 firewalld 防火墙屏蔽了。

    到现在还没搞明白怎么入侵进来的,希望有大神指点下,谢谢啦。

    20 条回复    2020-09-04 08:07:58 +08:00
    retanoj
        1
    retanoj  
       2020-09-03 15:50:03 +08:00
    需要看看 public 用户.ssh/authorized_keys 里面内容
    monsterxx03
        2
    monsterxx03  
       2020-09-03 16:03:01 +08:00
    看看安装这些的时候有没有用不知从哪拷过来的一键脚本......
    liuguang
        3
    liuguang  
       2020-09-03 16:23:43 +08:00
    之前听说 xshell 带后门,你不会用的 xshell 吧,密码泄露
    vision1900
        4
    vision1900  
       2020-09-03 16:35:37 +08:00
    只有公钥是不足以造成数据泄露的,必须还要有对应的私钥才能解密。楼主甚至可以把公钥和 IP 贴出来,这里也没有人能够成功入侵服务器(当然 IP 贴出来被人扫端口无法阻止)。如果真的被有效入侵,肯定私钥也被泄露了
    chinvo
        5
    chinvo  
       2020-09-03 16:41:30 +08:00
    1 、SSH 不管使用多复杂的密码登录, 理论上都是不安全的
    2 、日常使用中如果有使用一键脚本, 则脚本内可能有私货
    3 、如果使用有漏洞的客户端工具, 包括某些版本的 xshell 、破解版的各种客户端、国内小网站下载的 putty, 则可能被植入后门
    4 、内鬼
    vision1900
        6
    vision1900  
       2020-09-03 16:48:57 +08:00   ❤️ 1
    我先来一波,我有台服务器运行着 sshd 进程,地址是: [email protected]:22
    authorized keys 里有一个 RSA Key 如下:
    ssh-rsa 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 rz@patrick-ren.com
    欢迎各位骚扰, 80 端口是我正在开发的个人主页: http://158.247.203.9 有暗黑模式哟
    mrzx
        7
    mrzx  
       2020-09-03 16:50:21 +08:00
    @vision1900 楼上是蜜罐吗?
    vision1900
        8
    vision1900  
       2020-09-03 16:51:28 +08:00
    直接用了 root 账号,ssh 默认端口 也没有修改,SSL/TLS 也没加,等待被教育
    ksice
        9
    ksice  
       2020-09-03 17:26:57 +08:00
    @mrzx 可能是吧,专门吃🐍的
    ksice
        10
    ksice  
       2020-09-03 17:28:05 +08:00
    我们服务器也被挖矿处理了,现在还没找到痕迹
    mrzx
        11
    mrzx  
       2020-09-03 17:37:08 +08:00
    @vision1900 我相信你给做安全服务的公司足够的经费,会好好教育你的。。。不然天底下没有免费的午餐。获取你的数据也没有任何实际变现的价值。不然还免费帮你做安全加固?哪有那么好的事。。
    AstroProfundis
        12
    AstroProfundis  
       2020-09-03 17:52:10 +08:00
    楼上想偏了,这种并不是破解了已经添加到 authorized_keys 的密钥,而是通过别的手段把攻击者的公钥加到了 authorized_keys 里面,之后攻击者再正常登录进来
    zhangsanfeng2012
        13
    zhangsanfeng2012  
       2020-09-03 17:53:23 +08:00 via Android
    别的程序漏洞,公钥被写进去的吧
    Whalko
        14
    Whalko  
       2020-09-03 18:11:10 +08:00
    @vision1900 #6 @livid 这……帮忙删了吧
    kidlj
        15
    kidlj  
       2020-09-03 18:28:38 +08:00
    可能是 redis 暴露在公网了。
    vision1900
        16
    vision1900  
       2020-09-03 18:36:14 +08:00   ❤️ 1
    @Whalko 我仔细去 about 页面看了下,#6 并没有违反任何一条规则. 贴出来也只是为了验证 SSH 公钥是可以与任何人分享而不用担心安全的
    Whalko
        17
    Whalko  
       2020-09-03 19:12:40 +08:00 via Android
    @vision1900 对不起,我的问题。没看清错以为你把私钥发出来了。= = 我想这也太危险了
    Livid
        18
    Livid  
    MOD
       2020-09-04 02:41:10 +08:00
    @Whalko
    @vision1900

    pub keys 是可以在网上贴出来的。各位可以试试这个地址:

    https://github.com/your_github_username.keys
    chenluo0429
        19
    chenluo0429  
       2020-09-04 07:23:35 +08:00
    服务器上的恶意程序向.authorized_keys 写入了公钥,或者客户端上的恶意程序(比如各种 ssh 连接工具)获知了私钥
    superrichman
        20
    superrichman  
       2020-09-04 08:07:58 +08:00 via iPhone
    可能是先入侵了其它权限更高的用户,再用 public 用户跑挖矿。
    或者对外服务有 rce 之类的漏洞,人家直接写了一个 key 进来。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3832 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 10:36 · PVG 18:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.