未分類
1 9 月 2020

Linux 服务器 ssh publickey 入侵

Linux 服务器 ssh publickey 入侵

資深大佬 : quill 2

公网上一台 centos7 的服务器被来自纽约的 ip 入侵并植入了 xm64 挖矿木马,在 public 用户(同事自建的用户)下运行,幸好不是 root 。

清理了木马后,排查了下,在 secure 日志中发现是用户 public 通过 publickey 密钥登录之后搞的(登录时间和木马生成时间一致)。

public 用户目录的.ssh 目录下有 authorized_keys,有经询问同事,并没有建 public 用户的密钥登陆,并且登录密码很复杂。

服务器上跑着 oracle 、supervisord 、zabbix 客户端、urbackup 客户端,但这些程序的端口都被 firewalld 防火墙屏蔽了。

到现在还没搞明白怎么入侵进来的,希望有大神指点下,谢谢啦。

大佬有話說 (20)

  • 資深大佬 : retanoj

    需要看看 public 用户.ssh/authorized_keys 里面内容

  • 資深大佬 : monsterxx03

    看看安装这些的时候有没有用不知从哪拷过来的一键脚本……

  • 資深大佬 : liuguang

    之前听说 xshell 带后门,你不会用的 xshell 吧,密码泄露

  • 資深大佬 : vision1900

    只有公钥是不足以造成数据泄露的,必须还要有对应的私钥才能解密。主甚至可以把公钥和 IP 贴出来,这里也没有人能够成功入侵服务器(当然 IP 贴出来被人扫端口无法阻止)。如果真的被有效入侵,肯定私钥也被泄露了

  • 資深大佬 : chinvo

    1 、SSH 不管使用多复杂的密码登录, 理论上都是不安全的
    2 、日常使用中如果有使用一键脚本, 则脚本内可能有私货
    3 、如果使用有漏洞的客户端工具, 包括某些版本的 xshell 、破解版的各种客户端、国内小网站下载的 putty, 则可能被植入后门
    4 、内鬼

  • 資深大佬 : vision1900

    我先来一波,我有台服务器运行着 sshd 进程,地址是: [email protected]:22
    authorized keys 里有一个 RSA Key 如下:
    ssh-rsa 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 [email protected]-ren.com
    欢迎各位骚扰, 80 端口是我正在开发的个人主页: http://158.247.203.9 有暗黑模式哟

  • 資深大佬 : mrzx

    @vision1900 上是蜜罐吗?

  • 資深大佬 : vision1900

    直接用了 root 账号,ssh 默认端口 也没有修改,SSL/TLS 也没加,等待被教育

  • 資深大佬 : ksice

    @mrzx 可能是吧,专门吃

  • 資深大佬 : ksice

    我们服务器也被挖矿处理了,现在还没找到痕迹

  • 資深大佬 : mrzx

    @vision1900 我相信你给做安全服务的公司足够的经费,会好好教育你的。。。不然天底下没有免费的午餐。获取你的数据也没有任何实际变现的价值。不然还免费帮你做安全加固?哪有那么好的事。。

  • 資深大佬 : AstroProfundis

    上想偏了,这种并不是破解了已经添加到 authorized_keys 的密钥,而是通过别的手段把攻击者的公钥加到了 authorized_keys 里面,之后攻击者再正常登录进来

  • 資深大佬 : zhangsanfeng2012

    别的程序漏洞,公钥被写进去的吧

  • 資深大佬 : Whalko

    @vision1900 #6 @livid 这……帮忙删了吧

  • 資深大佬 : kidlj

    可能是 redis 暴露在公网了。

  • 資深大佬 : vision1900

    @Whalko 我仔细去 about 页面看了下,#6 并没有违反任何一条规则. 贴出来也只是为了验证 SSH 公钥是可以与任何人分享而不用担心安全的

  • 資深大佬 : Whalko

    @vision1900 对不起,我的问题。没看清错以为你把私钥发出来了。= = 我想这也太危险了

  • 資深大佬 : Livid

    @Whalko
    @vision1900

    pub keys 是可以在网上贴出来的。各位可以试试这个地址:

    https://github.com/your_github_username.keys

  • 資深大佬 : chenluo0429

    服务器上的恶意程序向.authorized_keys 写入了公钥,或者客户端上的恶意程序(比如各种 ssh 连接工具)获知了私钥

  • 資深大佬 : superrichman

    可能是先入侵了其它权限更高的用户,再用 public 用户跑挖矿。
    或者对外服务有 rce 之类的漏洞,人家直接写了一个 key 进来。