aRNoLD 大佬有话说 :
HostHatch用户用官方Debian模板的注意漏洞
https://www.lowendtalk.com/discussion/comment/3199786/#Comment_3199786
Anyone with VM with Hosthatch running with Debian image provided by Hosthatch should check their VM now. Good probability is that your VM may have been compromised via user debianuser, which is now running cnrig, which appears to be related to CryptoNight. Hosthatch VMs in multiple locations has been observed to have been compromised this way.
我自己還沒碰到,也沒挖礦或發現木馬什麼的,但看曝料是已經被人確認過了。
這段大意是說它用的Debian模板中有個預置用戶debianuser,有可能導致這個用戶運行一個cnrig的程序/進程,這個跟CryptoNight有關(我猜是加密貨幣?),現在HH多地機房都已經發現有出現機器被滲入的例子。
我記得前兩天論壇上也有人提過其它家的主機商模板用的默認的配置和預置信息,其中的debianuser也許都不可靠,因爲信息沒改,所以也許被人利用了。
查了下,刪除用戶也挺簡單,對於不想自己裝而一直用模板安裝的,裝完後用 userdel [-r -f] debianuser 就可以了。如果不怕麻煩的,採用掛載ISO的方式安裝,或者萌咖的遠程一鍵安裝也挺好。
ved2loc 大佬有话说 :
感谢大佬发帖,比那些整天撕逼的帖子好多了!
CN2 大佬有话说 :
养成dd的好习惯
jiuqimax 大佬有话说 :
拿到机先网络重装 :lol
aRNoLD 大佬有话说 :
ved2loc 大佬有话说 : 2021-2-1 20:36
感谢大佬发帖,比那些整天撕逼的帖子好多了!
論壇還是需要常撕不懈的,你看有關這條重大信息就是在HH的LET撕戰貼中冒出來的。
Mio 大佬有话说 :
用得hosthatch模板升级了debian10,没有发现debianuser用户
wifitry 大佬有话说 :
不明觉厉
nisekoi 大佬有话说 :
他妈我已经中了 https://www.hostloc.com/thread-803036-1-1.html
已经把这个用户密码改了。
大概是黑五后换的新模板出现了这个问题,之前装的系统没这个用户
whoistop 大佬有话说 :
拒绝密码登录
Trojan. 大佬有话说 :
密钥登陆,并禁止密码登陆懂不懂?