第 1 条附言 · 2 天前
ssh 登录之后的输出: https://imgur.com/QcR9Zvd
 |
1
Donaldo 2 天前
代码不发出来?
|
 |
2
yvkm92 OP 不好意思,重新编辑一直被 block ,发不出
|
|
3
yvkm92 OP |
 |
4
afn988 2 天前
bash -x
用这个命令检查 |
|
5
yvkm92 OP 已经在 chatgpt 的指导下,检查过
1. service , 没发现异常 2. ssh 相关的配置文件和 bash profile 等文件,也没发现问题 3. 服务器没有找到可疑的文件 目前没有什么思路,不知道有没有大佬指点一下 |
|
7
yvkm92 OP @afn988 没有看出有什么异常, 用这个命令登录 ssh user@hostname 'bash --norc --noprofile',也还会输出那段代码,说明和 bash 的配置文件应该没关系
|
 |
8
alvinbone88 2 天前
检查一下/etc/pam.d/下面的文件,可能这里有问题
|
 |
9
Kite6 2 天前 via Android
图床挂了看不到,如果是 ubuntu 的话可以看看 /etc/default/motd-news
|
 |
10
lxy42 2 天前 via Android
看看是不是 ssh motd 或者 ssh banner
|
 |
11
ferock 2 天前 via iPhone
登录执行 curl ?
|
|
13
yvkm92 OP @alvinbone88 这个目录下看着没有可疑文件,看时间都是 23 年以前的文件 https://imgur.com/undefined
|
|
17
yvkm92 OP @alvinbone88 https://imgur.com/8cI3lYX 里面没看出来有可疑的文件
|
 |
18
Licsber 2 天前
你这个好奇怪啊 啥东西的输出也不太可能是一个 hello 和 index.js 吧
蹲一个大佬破案 |
 |
19
ysc3839 2 天前 via Android
直接 grep -F index.js -r /
|
 |
20
BeautifulSoap 2 天前 via Android
做了什么美化输出然后获取信息的网站挂了而且有本地缓存?
|
 |
21
newaccount 2 天前
/etc/pam.d/setup 这个没问题?
|
 |
22
InDom 2 天前  2
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHrSa049hCfpMgn9NNIxokqfAEcHNMD9Gm1IZJ6PE3ZN
给我加服务器上,我帮你找 🐶 |
 |
23
zizon 2 天前
修改下 bash profile 之类的,加几个 echo 确定是在 source profile 之前还是之后.
之后的就简单逐行排查下. 之前的话开个终端 tcpdump 一下非 ssh 端口的流量,看看是往哪里的请求. 拿到 ip 之后再 ss/netstat/ps 之类的脚本挂着看下触发的命令行是什么. |
|
25
yvkm92 OP @BeautifulSoap 我用的是 termius ,我已经发邮件他们了,大概率不是这个问题,我已经用了好久了,如果有这个问题,理论上其他服务器也有才对
|
|
26
yvkm92 OP @newaccount setup 只有下面的内容,没看懂
#%PAM-1.0 auth sufficient pam_rootok.so auth include system-auth account required pam_permit.so session required pam_permit.so |
 |
30
msg7086 2 天前
你想挣扎什么?挣扎不用重装系统?如果攻击者有能力篡改 root 权限的文件的话,那对方早就能把操作系统的核心文件全给你替换成带毒文件了。系统你留着做攻击分析是可以,但不第一时间重装系统的话,你们公司的 IT 可以开掉了说实话。
|
Select Language