记实验室服务器网安事件始末

最新推荐文章于 2024-02-06 14:29:56 发布
最新推荐文章于 2024-02-06 14:29:56 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: 心得随笔 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cpp_stronger/article/details/112563227
版权

前文:使用frp内网穿透访问学校服务器的配置,我发现实验室服务器被黑客攻击。

线索

首先我看到frp server的仪表板上,有时候深夜23:30,我关闭ssh会话之后,我认为师兄也没有连接,可是还是有一个连接。
刚配置好的几天我没有理会这个连接,我以为是师兄在用。结果到昨天(1.12)上午9:30左右,我发现实验室服务器CPU被占用50%。我想实验室服务器性能这么强,一般很难占用内核50%,一定是师兄在跑代码吧,出于好奇心,我想看看师兄跑的是什么代码、项目想学习学习。
使用top命令,看到第一行是一个名为cnrig的进程,占用CPU 2000%(20个内核被100%占用,显示为2000%)。
随后使用htop资源管理工具,进一步验证事实。当时没有截图,大概是21个进程,名为cnrig 13.xxx.xx.xxx(IP地址):80 密钥 一些参数的格式,主进程显示已运行131小时,20个子进程也在100%运行。
到了下午3:30,我偷懒不想读论文(手动狗头保命),就又远程登录服务器,看到这个进程还在运行,我就觉得很奇怪,为什么用20个核心100%运行6小时还跑不完,这是什么程序啊?我上网一搜,发现cnrig原来是这个
在这里插入图片描述
一个面向Linux平台的CPU矿机程序!!!我意识到服务器被攻击了,赶紧向师兄汇报。

第一回合:发现被攻击

师兄让我更改root账户和各账户密码,并让我杀掉进程。担心黑客的文件还存在电脑里,可能再次运行,让我找到文件并把文件删了。
我发现文件在这个位置
在这里插入图片描述
这是第二回合的结果,第一回合忘记存。第一回合是在/var/tmp/,这个名为“,(逗号)"的文件夹下一个名为cnrig的程序包和nohup.out,我将逗号文件夹删除。
我看到以root账户打开的tmux会话里有三条命令

root:/var/tmp# lkill
lkill未安装
root:/var/tmp# ckill
ckill未安装
root:/var/tmp# kill -1 -1
root:/var/tmp#

这说明黑客具备命令行登录到服务器的能力。这是非常危险的。
在修改完各账号的密码、删除逗号文件夹之后,暂时告一段落,黑客暂时没有继续攻击。

第二回合:卷土重来

到当晚11点,在我断开使用frp搭建的ssh会话之后,我看到还有一个连接。我证实这不是师兄的连接之后,感到不好,看看服务器情况,发现CPU又被占用50%,如图,改为名为xmr的进程。
在这里插入图片描述
在这里插入图片描述
这回逗号文件夹下出现了miner文件夹,查看内容如下
在这里插入图片描述
找到了这个xmr文件。还有那个cnrig文件,让我感觉到还是刚才的黑客所为。
我尝试kill这个进程若干次,发现每次这个进程都能被自动恢复。
晚上我没注意,但好像这时候/home目录下师兄师姐的用户文件夹都被黑客删掉了。第二天早上证实这一点。
这是黑客在我删掉他的挖矿文件、停掉他的进程之后的报复行为!
这说明黑客仍然具备ssh远程登录我的服务器的能力。
我认为是frp工具存在问题,以为存在后门,所以紧急在阿里云服务器的frp server端和实验室服务器的frp client端都关闭frp服务,并打开防火墙(我发现实验室服务器的防火墙已经被黑客关掉了!),关闭frp服务相关的端口,只保留了ssh用到的22端口(因为我在家要远程登录服务器,担心关了22端口我也登不上了)。阿里云服务器防火墙关闭除22端口之外的所有端口。
最后发现黑客还是能登录,证明frp服务应该不存在后门,应该是黑客的程序留了后门让他还能够连接到我服务器的命令行。昨天怀疑frp服务存在后门,向frp项目的开发者说一声对不起!

第三回合:最后的抗争

到了今天上午(1.13),我感觉黑客已经发现我在采取动作,但是他还是具备以root权限控制我服务器的能力。我的抗争很艰难。
我首先登录root账户,安装clamav病毒对抗程序,进行全盘扫描杀毒。之后尝试再次修改用户密码。我知道应该已经没有用了,因为root账户可以修改任意用户的密码。
到上午11点,我无法登录root账户,黑客已经修改了root密码,并kill掉我的杀毒进程。师兄让我尝试远程重装系统。这是非常困难的,网上我虽然找到教程,但是教程提供者说不容易成功。而且root权限在黑客手里,他可以随时决定什么时候改我的密码让我连接不了,所以很难成功。
最后到中午12:50吃完午饭,我发现我被ssh客户端退出,再次登录失败,我的密码被修改。抗争到此结束。
最后的解决方法是师兄联系在学校的师姐进行物理断网,并现场重新安装系统。

经验教训

  1. 电脑的登录密码、网关密码等等不能设置过于简单,这样在电脑暴露到公网之后很容易被攻破!
    特别是root用户的密码,具有电脑最高控制权限的账户就这样拱手交给黑客,对电脑安全和学校内网设备的安全都带来很大的隐患。

  2. 服务器上可以运行一些杀毒软件,定期清除病毒程序。

  3. 通过这次的情况我发现自己在linux系统的操作维护、网络安全方面存在知识上的不足,我要学习这一块知识,补上这一块的短板,杜绝病毒攻击的再次发生。

LuoHao2100
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Fcoin事件背后的良心与底线
01-08
作为同行和朋友,Fcoin事件令我们深感痛心和遗憾,这不是天灾,而是“人祸”。对于平台用户造成难以挽回的经济和身心损失,对于整个行业产生负面影响。这是野蛮生长带来的阵痛,对于每一家业内平台都是一次警醒:...
初中语文文摘历史“大同公园事件始末
09-09
初中语文文摘历史“大同公园事件始末
虚拟机中发现可疑命令
含笑的依米のBlog
12-31 415
例行检查虚拟机运行情况,发现虚拟机异常,输入用户名密码登录失败,于是进入单用户模式修改密码,修改成功后,进入虚拟机,输入history命令发现有可疑命令被执行。 在网上查找资料,找到挖矿程序源码:https://github.com/cnrig/cnrig 有时间需要对版本升级 ...
Python库 | py_exceptions-1.1.0-py3-none-any.whl
02-19
python库,解压后可用。 资源全名:py_exceptions-1.1.0-py3-none-any.whl
Python Exceptions
jvisualvm
04-22 258
exception object、raise、内建异常类  自定义异常、捕捉异常  传递异常(不带参数的raise)  不止一个except子句  用一个块捕捉两个异常、捕捉对象  else子句:try-except-else  try-except-else(except Exception version)  finally子句  异常和函数    ...
Python - Exceptions
weixin_30840573的博客
08-08 148
官方文档:https://docs.python.org/3/library/exceptions.html 1. 使用try...except... 2. 输出错误信息的方式为: try: cursor.execute(sql) db.commit() except Exception as inst: print(inst.args) ...
python better-exceptions工具
YahamaTarGe的博客
04-02 1673
python debug 工具 better-exceptions 安装方法 # install pip install better_exceptions # set the BETTER_EXCEPTIONS environment variable to any value export BETTER_EXCEPTIONS=1 # Linux / OSX setx BETTER_EXCE...
内网穿透工具---frp使用教程
u011215939的博客
12-04 3万+
前言 最近在研究内网渗透的一些东西,碰到了需要内网穿透的情况,使用了几款工具后,就来总结一下啦。 介绍frp frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。 1、利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。 2、对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可...
煮饺子事件始末作文.doc
01-17
煮饺子事件始末作文.doc
炫富女郭美美事件始末.doc
09-19
炫富女郭美美事件始末.doc
亲身经历的局域网arp攻击事件始末
01-11
亲身经历的局域网arp攻击事件始末
日常随笔——frp内网穿透的使用以及相关问题
Overvautious的博客
10-27 2702
这几天在别人那整了一台服务器,但怎么连接也是一个问题,由于不在同一个内网,所以需要借助内网穿透工具。好不容易解决了内网穿透,结果接连两天,内网穿透端口都一直被人攻击(心中一万只草泥马奔腾而过)。因此,这里也录一下如何防护陌生IP攻击。 1. 内网穿透frp 什么是内网穿透: 主机A在10.21.0.0/16 局域网内,主机B在10.39.0.0/16 局域网内,那么这两台主机不能相互通信。此时需要做的就是找一台中介服务器,作为这两台主机的通信媒介。 实现内网穿透后能做什么: 实现了后就可以在校外直接访问校
FRP内网穿透如何避免SSH暴力破解(二)——指定地区允许访问
最新发布
Peter's Blog
02-06 1367
说到,出现了试图反复通过FRP的隧道,建立外网端口到内网服务器TCP链路的机器人,同时试图暴力破解ssh。这些连接造成了流量的浪费和不必要的通信开销。考虑到服务器使用者主要分布在A、B、C地区和国家,我打算对上一篇文章获取的建立连接的ip再过滤一遍,把其他地区的ip加以封禁,确保服务器不被恶意访问骚扰。
linux上禁用ip(防止frps转发的端口被爆破)并屏蔽境外ip
月清晖的程序猿生活
02-23 4911
首先在frps配置文件中加入日志录 [common] bind_port = ** dashboard_user = ** dashboard_pwd = ** dashboard_port = ** log_file = /etc/frps/frps.log log_level = info log_max_days = 30 内容少的手动搜索,内容多下载到本地操作 查找 get a user connection 只要不是自己的ip和内网ip就录下来,在ssh运行 iptables
使用python -m spacy download XXX失败,requests.exceptions.ConnectionError
qq_24668285的博客
12-11 938
问题描述:使用spacy在线下载数据集网络连接请求错误。 问题原因:大部分是因为网络的原因导致的。 解决办法: 到官网下载.tar.gz文件,官网链接:Releases · explosion/spacy-models · GitHub 然后 ...
挖矿病毒攻击的排查处置手册
煜铭2011
07-01 8999
一、背景 在用户不知情或未经允许的情况下,占用系统资源和网络资源进行挖矿,影响用户的网络和资源,从而获取虚拟币牟利。 为了帮助应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,整理了如下针对挖矿活动相关的现状分析和检测处置建议。 二、为什么会感染恶意挖矿程序 通常遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题,目前感染恶意挖矿程序的主要方式: 2.1.利用类似其他病毒木
内网渗透之frp使用
weixin_30883311的博客
09-25 1987
0x00 前言 nps相比上次已经介绍过了。但是他有一个致命缺点就是在scks5代理下会长连接一直不放开导致结果不准确。所以来讲讲frp的使用。frp虽然需要落地配置文件,但是扫描的结果还是很准确的。frp有个负载均衡的功能很强。毕竟有时候内网流量一大,很容易被管理员发现。nps有流量加密和压缩传输也是减少触犯防火墙规则。 0x01 frp搭建 下载链接:https://gi...
python安装docx模块出现Import Error: No module named 'exceptions'的解决方案
热门推荐
小长冲冲里的一只羊的专栏
05-15 8万+
    最近想使用python+word来做文档的提取,于是想用docx三方库,我用的是python 3.6,开发环境为Anaconda3,于是通过Anaconda  的Anaconda Prompt命令窗口安装docx,输入一下指令:pip install docx命令窗口显示成功后,在开发环境中输入import docx测试三方库有没有成功,显示Import Error: No module ...
python exceptions,Python : Exception
weixin_36050894的博客
03-25 573
Exception hierarchy¶The class hierarchy for built-in exceptions is:BaseException+-- SystemExit+-- KeyboardInterrupt+-- GeneratorExit+-- Exception+-- StopIteration+-- StopAsyncIteration+-- ArithmeticEr...
matlab求哈密顿路径,始末固定
05-12
哈密顿路径是指一条从图中每个节点恰好经过一次的路径,而始末点则是指这条路径的起点和终点。使用MATLAB求解哈密顿路径的步骤如下: 1. 构建图:根据需要求解的场景,使用MATLAB中的图形工具箱构建对应的图形。 2. 确定起点和终点:根据场景中设定的起点和终点,将其对应的节点进行标注。 3. 求解哈密顿路径:使用MATLAB中的图形工具箱中的哈密顿路径求解函数进行求解。该函数会寻找从起点到终点的一条经过每个节点恰好一次的路径。 4. 输出路径结果:求解完毕后,使用MATLAB中的输出函数将求解的结果展示出来。 需要注意的是,哈密顿路径问题是NP-Complete难题,因此在一些复杂的场景下,程序可能需要较长的计算时间才能得到结果。因此,为了保证程序的性能,应尽可能优化程序的算法和数据结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值