V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hadoop
V2EX  ›  问与答

服务器被未知“naike”账户从 tty1 登录,可能是啥问题?

  •  
  •   hadoop · 2017-02-15 19:27:33 +08:00 · 3878 次点击
    这是一个创建于 2834 天前的主题,其中的信息可能已经有所发展或是发生改变。
    首先服务器被重启,重启后有这么条日志
    1480 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event2 (Power Button)
    1481 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event1 (Power Button)
    1482 Feb 15 16:34:07 C3Server systemd-logind[771]: Watching system buttons on /dev/input/event0 (Sleep Button)
    1483 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on 0.0.0.0 port xxx.
    1484 Feb 15 16:34:09 C3Server sshd[1312]: Server listening on :: port xxx
    1485 Feb 15 16:34:24 C3Server login[1357]: pam_unix(login:session): session opened for user naike by LOGIN(uid=0)
    1486 Feb 15 16:34:25 C3Server systemd-logind[771]: New session 1 of user root.
    1487 Feb 15 16:34:25 C3Server systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0)
    1488 Feb 15 16:34:25 C3Server login[1592]: ROOT LOGIN on '/dev/tty1'

    然后 /etc/passwd 里多了一个
    naike:x:0:0::/home/root:

    两小时候被发现机器重启,但是数据看起来也没丢

    我的疑问是:
    从 tty1 登录,是不是只能物理连接?比如机房管理员直接登录
    第 1 条附言  ·  2017-02-15 21:22:04 +08:00
    确定是被黑了,服务器开始不停往外发包

    被黑的原因还没找到
    第 2 条附言  ·  2017-02-15 21:22:58 +08:00
    应发是中了这个 Linux.BackDoor.Gates.5 木马
    17 条回复    2019-08-08 11:27:09 +08:00
    techmoe
        1
    techmoe  
       2017-02-15 19:54:10 +08:00 via Android
    感觉被插后门的面大
    快备份好数据把那个账户删掉吧
    kuretru
        2
    kuretru  
       2017-02-15 19:55:43 +08:00 via iPhone
    在 tty 登陆界面按 Ctrl Alt Del 即可重启,这个一看就是重启进入单用户模式新建了一个用户,并且指定这个用户 uid 为 0 ,这个用户即可获得 root 的所有权限
    kuretru
        3
    kuretru  
       2017-02-15 19:58:00 +08:00 via iPhone
    赶紧看看.ssh 下有没有新增 公钥 history 看看他登陆后做了什么
    hadoop
        4
    hadoop  
    OP
       2017-02-15 20:00:27 +08:00 via Android
    @kuretru 这个需要接触到物理机器吗?机器托管在机房里的
    hadoop
        5
    hadoop  
    OP
       2017-02-15 20:06:35 +08:00 via Android
    @kuretru 没有新增密钥, history 也没有异常,奇怪了
    kuretru
        6
    kuretru  
       2017-02-15 20:10:46 +08:00 via iPhone
    @hadoop 如果是台独服的吧,多半是物理操作的
    hadoop
        7
    hadoop  
    OP
       2017-02-15 20:32:40 +08:00
    @kuretru impi 如果被黑的话,能这么搞吗?我查了 impi 没有登录记录
    hadoop
        8
    hadoop  
    OP
       2017-02-15 20:35:09 +08:00
    @kuretru 我想请教下,如果是物理服务器的话,是不是只有物理接触才会进 tty ?
    kuretru
        9
    kuretru  
       2017-02-15 20:42:03 +08:00
    @hadoop #8 这个我不能确定,但是凭我的经验来看,应该是物理接触
    hadoop
        10
    hadoop  
    OP
       2017-02-15 22:41:14 +08:00
    @kuretru 果然中了木马,不停的发包,跑满带宽。 md 只能去重装了。
    可是还没查出来被黑的原因,不爽啊
    bravecarrot
        11
    bravecarrot  
       2017-02-16 11:02:50 +08:00 via iPhone
    查看你的 sshd 程序还是不是原来那个;
    不要用该机器登录其他机器了。
    至于怎么被黑的,根据你开放点服务排查呗
    hadoop
        12
    hadoop  
    OP
       2017-02-16 12:23:02 +08:00
    @bravecarrot 确定很多二进制文件都被替换了,查了下中了 Linux.BackDoor.Gates.5 木马。重装系统,现在看起来 impi 泄露的可能性大
    DeltaTriangle
        13
    DeltaTriangle  
       2017-03-18 02:25:55 +08:00
    @hadoop 我去,我已经被这个 naike 骚扰两次了,第一次我感觉有异常,但是直接重装了
    重装后,改了密码。 3 天后,第二次,又被 hack 了
    同样也是 tty1 登陆的,并且在 tty1 登陆前有一次物理重启
    最后你这个怎么解决的呢?
    hadoop
        14
    hadoop  
    OP
       2017-03-19 11:34:55 +08:00
    @DeltaTriangle 确定肯定是被黑了。具体原因说实话我没查出来。目前猜测是我的 impi 密码泄露了。重装之后改了 impi 的密码,到现在还好

    你的现象跟我当时很像,在被黑之前都有一次物理重启。你看你的机器有没有一直对外发包。这个木马会替换很多二进制 bin 比如 ssh 啥的,看起来只有重装一条路
    DeltaTriangle
        15
    DeltaTriangle  
       2017-03-21 21:48:06 +08:00
    @hadoop 第三次我又重装了,这次直接叫机房把 IPMI 禁了。目前来说,还没出问题,希望是解决了。
    黑的原因和过程,我看了下 bash 日志和 auth 日志,猜测大致是这样的:
    1. hacker 获取了 IPMI 密码,直接 console 操作。后台日志提示是 /dev/tty1 的登陆,意味着不是 ssh 被黑的;
    2. hacker 直接传入 Ctrl+Alt+Del ,强制重启。系统启动时间是 10:42 ,重新进系统的初始化时间是 10:45 。但是 naike 的账号却是 10:44 建立的。这意味着, hacker 可能进入了单用户模式,直接手动建了账号 naike ,并置 uid=0 ;
    3. hacker 用 naike 账号登陆,并 su 提权,执行了操作,用 wget 下载了一个木马文件,并执行。

    这个木马实际的作用,我看了下,应该是给一个境外 porn 网站做国内分流的,有点类似 cdn 那种。
    感觉这个 hacker 也不是那种特别牛逼的,最大的线索应该就是登陆是 /dev/tty1 这个上面,这只能说明两种大的可能,第一就是 IPMI 密码泄露了,第二就是机房有内鬼。机房有内鬼的可能性应该比较小。所以最大可能就是 IPMI 密码泄露。

    IPMI 被泄露这个,说实话我觉得很蹊跷。你可以看看最开始机房给你的带 IPMI 密码的邮件,是不是抄送给了除了你以外的其他人(比如客服经理啥的),所以,你懂的。。。。。。。
    hadoop
        16
    hadoop  
    OP
       2017-03-22 09:09:42 +08:00
    @DeltaTriangle 发给我的 impi 密码是一个随机密码,我只登录过一次,也没改过,很难是被破解的。

    我跟主机商了解到,给我们这种用户的 impi 只是一个 “观察者”权限的帐号,整个机房的 impi 系统还有更高权限的用户可以随便看你的 impi 内容。 so 。。
    buy2top
        17
    buy2top  
       2019-08-08 11:27:09 +08:00
    楼主我也碰到一样的问题了,是 anliyun hk 的机器,而且后来对方用了好几个 ip 来登录我的机器,还好对方新建账号才一天多点时间。我给报工单阿里云的售后感觉不行啊。我打算花点时间反撩对方,反正他的日志都没来得及清我都给保留了,实在有问题我可以报案。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1067 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:34 · PVG 03:34 · LAX 11:34 · JFK 14:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.