VPS 中毒了，Ebury，据说传播范围很大

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 3876 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://www.cert-bund.de/ebury-faq
侵入了SSH服务器，会开后门，偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m，如果发现666权限，超过3M的空间那就是中毒了
介绍里还有一句很重要：
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].

本机

ssh

Ebury

29 条回复 • 1970-01-01 08:00:00 +08:00

ScotGu

2014-03-23 21:36:17 +08:00

哇~~~ 赶紧检查了一下。。。

yylzcom

2014-03-23 21:44:41 +08:00

感谢提醒，昨天看到新闻了，没注意。刚才通通排查了一遍，没有发现被感染的迹象。

所有服务器都是单独密钥，openssh换成了dropbear，端口号都改过

initialdp

2014-03-23 21:47:01 +08:00

还好，没中毒。

binux

2014-03-23 21:56:00 +08:00

有一台中毒了，其他的没事，按照传播途径来说，所有登录都是用同一个密钥，而且禁用了密码登录
后台没有用cPanel，系统和软件是官方源安装的。。不知道怎么中的。。

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x000005a5 0 100 666 3429836 0

hadoop

2014-03-23 22:10:21 +08:00

@binux 中途途径？ cpanel？

cielpy

2014-03-23 22:14:25 +08:00

key shmid owner perms bytes nattch status
0x00000000 0 root 600 524288 4 dest
没中。有预防措施吗。

lyragosa

2014-03-23 22:22:38 +08:00

~ ipcs -m

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

空的表示没问题吗？

我的网站都是手动配置的环境，从不用控制面板。

xd547

2014-03-23 22:33:33 +08:00

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

同问空的是没有问题吗？

niseter

2014-03-23 22:54:23 +08:00

同问什么情况是正常的？

binux

2014-03-23 23:10:08 +08:00

@hadoop 我所有机器都只从同一台机器登录，除了 hostigation 的面板没有装面板

darksheen

2014-03-23 23:22:56 +08:00

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x00000000 0 root 600 524288 7 dest
0x000005ff 32769 ntp 666 3301428 0
0x000005dc 65538 ntp 666 2870144 0
0x000006c2 98307 tcpdump 666 2822960 0

难道我中招了？

ericls

2014-03-23 23:37:51 +08:00

还好都没中
从来不开密码登陆。。

lsylsy2

2014-03-23 23:59:39 +08:00

@lyragosa
@xd547
@xd547
@niseter
空的就是安全的，只要没这个，具体可以点原文链接进去看
预防方法……不知道，平时管理好SSH密钥吧，按照上面的换dropbear等其他的也许也是个办法

lsylsy2

2014-03-24 00:00:26 +08:00

@binux 也许是0day吧……

sitin

2014-03-24 00:48:56 +08:00

还好，安全。

yanwen

2014-03-24 01:28:40 +08:00

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x00000000 294912 root 600 524288 7 dest

@binux
@lyragosa

这样中了么？

yylzcom

2014-03-24 01:41:19 +08:00

@yanwen

大于26k 且666权限的基本就是中招了，你的是600，不符合

yanwen

2014-03-24 01:56:13 +08:00

@yylzcom 谢谢。。

2ex

2014-03-24 08:07:16 +08:00 via Android

这个要回去查查.服务器太多了

anheiyouxia

2014-03-24 08:43:01 +08:00

谢谢提醒，还好没中，一直都是改了端口，没禁用root和密码登陆也没事，我是不是应该继续侥幸下去？
------ Shared Memory Segments --------
key shmid owner perms bytes nattch status

TankyWoo

2014-03-24 10:20:40 +08:00

没中，我ssh只允许公私钥登录

hadoop

2014-03-24 10:35:33 +08:00

我一堆600权限的有没有问题？

------ Shared Memory Segments --------
key shmid owner perms bytes nattch status
0x00000000 1731919872 azureuser 600 196608 2 dest
0x00000000 1733525505 azureuser 600 2579992 1 dest
0x00000000 1852211202 azureuser 600 2579992 1 dest
0x00000000 1852178435 azureuser 600 998400 2 dest
0x00000000 1734082564 azureuser 600 2725872 1 dest