记一次个人服务器被侵的排查过程
自己在家组了个ubuntu服务器,并安装了OpenWRT软路由,目的是有余之时学习学习,随便日常存点资料,毕竟我的群晖噪音太大,都是放着吃灰,在备份时才开机。
哪知前不久OpenWRT频繁断网,排查后以为是OpenWRT的文件损坏而断网,重装系统也依然如此,再排查又以为是装系统的SSD写的量太大而损坏,后来购买了新的SSD(Msata),安装后,心里高兴啊。
可是在配置微信通知时(serverChan)时多点了几个登陆失败、登陆成功通知,才发现有人不停登录我的SSH,有登录失败的通知(这次鬼使神差改变了一贯用的密码)。
开始以为是我注册的NATFRP,Openfrp穿透透露了地址,有人在不停的尝试。
本来我自己宽带是带公网IP的,无需内网穿透,但本着学习的精神注册了并运行,:(,这是多此一举哈~~~~~~~~~
可是关闭FRP穿透依然在远程尝试登录,于是我改变了SSH的端口,果然没有了。
但当我用JuiceSSH再次登录过后,这种情况又来了。。。。。。。。
而我用的是网上找的所谓破解版。于是我瞬间明白了,是JuiceSSH破解版有后门程序,这个教训惨痛,但未造成大的损失。
这时我想起一段时间里Ubuntu服务器长期CPU暴满,我以为是我升级成23.10后机子太老的缘故,没想到呀没想到,是有人把我机子当矿机了,同样我也用JuiceSSH登录过呀。
于是进行检查排除,发现了有后门用户“pischi”,果然是有人入侵后种上了后门,想删除这个用户,找到CPU暴满的进程,但以我半瓶水水平,果然是查不出来,只有重新装系统了。
重新装了系统,进入1panel面板(之前停用)后,发现有人不停的尝试ROOT用户登录,当我改了地址和端口后,不见了,改回来,又来了,应该是自动程序。
提醒:
1、还是不要用来历不明的程序
2、关闭密码访问,启用密钥访问
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 vault@coolxy.cn
