其他分享
首页 > 其他分享> > 记实验室服务器网安事件始末

记实验室服务器网安事件始末

作者:互联网

前文:使用frp内网穿透访问学校服务器的配置,我发现实验室服务器被黑客攻击。

线索

首先我看到frp server的仪表板上,有时候深夜23:30,我关闭ssh会话之后,我认为师兄也没有连接,可是还是有一个连接。
刚配置好的几天我没有理会这个连接,我以为是师兄在用。结果到昨天(1.12)上午9:30左右,我发现实验室服务器CPU被占用50%。我想实验室服务器性能这么强,一般很难占用内核50%,一定是师兄在跑代码吧,出于好奇心,我想看看师兄跑的是什么代码、项目想学习学习。
使用top命令,看到第一行是一个名为cnrig的进程,占用CPU 2000%(20个内核被100%占用,显示为2000%)。
随后使用htop资源管理工具,进一步验证事实。当时没有截图,大概是21个进程,名为cnrig 13.xxx.xx.xxx(IP地址):80 密钥 一些参数的格式,主进程显示已运行131小时,20个子进程也在100%运行。
到了下午3:30,我偷懒不想读论文(手动狗头保命),就又远程登录服务器,看到这个进程还在运行,我就觉得很奇怪,为什么用20个核心100%运行6小时还跑不完,这是什么程序啊?我上网一搜,发现cnrig原来是这个
在这里插入图片描述
一个面向Linux平台的CPU矿机程序!!!我意识到服务器被攻击了,赶紧向师兄汇报。

第一回合:发现被攻击

师兄让我更改root账户和各账户密码,并让我杀掉进程。担心黑客的文件还存在电脑里,可能再次运行,让我找到文件并把文件删了。
我发现文件在这个位置
在这里插入图片描述
这是第二回合的结果,第一回合忘记存。第一回合是在/var/tmp/,这个名为“,(逗号)"的文件夹下一个名为cnrig的程序包和nohup.out,我将逗号文件夹删除。
我看到以root账户打开的tmux会话里有三条命令

root:/var/tmp# lkill
lkill未安装
root:/var/tmp# ckill
ckill未安装
root:/var/tmp# kill -1 -1
root:/var/tmp#

这说明黑客具备命令行登录到服务器的能力。这是非常危险的。
在修改完各账号的密码、删除逗号文件夹之后,暂时告一段落,黑客暂时没有继续攻击。

第二回合:卷土重来

到当晚11点,在我断开使用frp搭建的ssh会话之后,我看到还有一个连接。我证实这不是师兄的连接之后,感到不好,看看服务器情况,发现CPU又被占用50%,如图,改为名为xmr的进程。
在这里插入图片描述
在这里插入图片描述
这回逗号文件夹下出现了miner文件夹,查看内容如下
在这里插入图片描述
找到了这个xmr文件。还有那个cnrig文件,让我感觉到还是刚才的黑客所为。
我尝试kill这个进程若干次,发现每次这个进程都能被自动恢复。
晚上我没注意,但好像这时候/home目录下师兄师姐的用户文件夹都被黑客删掉了。第二天早上证实这一点。
这是黑客在我删掉他的挖矿文件、停掉他的进程之后的报复行为!
这说明黑客仍然具备ssh远程登录我的服务器的能力。
我认为是frp工具存在问题,以为存在后门,所以紧急在阿里云服务器的frp server端和实验室服务器的frp client端都关闭frp服务,并打开防火墙(我发现实验室服务器的防火墙已经被黑客关掉了!),关闭frp服务相关的端口,只保留了ssh用到的22端口(因为我在家要远程登录服务器,担心关了22端口我也登不上了)。阿里云服务器防火墙关闭除22端口之外的所有端口。
最后发现黑客还是能登录,证明frp服务应该不存在后门,应该是黑客的程序留了后门让他还能够连接到我服务器的命令行。昨天怀疑frp服务存在后门,向frp项目的开发者说一声对不起!

第三回合:最后的抗争

到了今天上午(1.13),我感觉黑客已经发现我在采取动作,但是他还是具备以root权限控制我服务器的能力。我的抗争很艰难。
我首先登录root账户,安装clamav病毒对抗程序,进行全盘扫描杀毒。之后尝试再次修改用户密码。我知道应该已经没有用了,因为root账户可以修改任意用户的密码。
到上午11点,我无法登录root账户,黑客已经修改了root密码,并kill掉我的杀毒进程。师兄让我尝试远程重装系统。这是非常困难的,网上我虽然找到教程,但是教程提供者说不容易成功。而且root权限在黑客手里,他可以随时决定什么时候改我的密码让我连接不了,所以很难成功。
最后到中午12:50吃完午饭,我发现我被ssh客户端退出,再次登录失败,我的密码被修改。抗争到此结束。
最后的解决方法是师兄联系在学校的师姐进行物理断网,并现场重新安装系统。

经验教训

  1. 电脑的登录密码、网关密码等等不能设置过于简单,这样在电脑暴露到公网之后很容易被攻破!
    特别是root用户的密码,具有电脑最高控制权限的账户就这样拱手交给黑客,对电脑安全和学校内网设备的安全都带来很大的隐患。

  2. 服务器上可以运行一些杀毒软件,定期清除病毒程序。

  3. 通过这次的情况我发现自己在linux系统的操作维护、网络安全方面存在知识上的不足,我要学习这一块知识,补上这一块的短板,杜绝病毒攻击的再次发生。

标签:始末,frp,密码,黑客,网安,服务器,root,师兄
来源: https://blog.csdn.net/Cpp_stronger/article/details/112563227