记实验室服务器网安事件始末
续前文:使用frp内网穿透访问学校服务器的配置,我发现实验室服务器被黑客攻击。
线索
首先我看到frp server的仪表板上,有时候深夜23:30,我关闭ssh会话之后,我认为师兄也没有连接,可是还是有一个连接。
刚配置好的几天我没有理会这个连接,我以为是师兄在用。结果到昨天(1.12)上午9:30左右,我发现实验室服务器CPU被占用50%。我想实验室服务器性能这么强,一般很难占用内核50%,一定是师兄在跑代码吧,出于好奇心,我想看看师兄跑的是什么代码、项目想学习学习。
使用top命令,看到第一行是一个名为cnrig的进程,占用CPU 2000%(20个内核被100%占用,显示为2000%)。
随后使用htop资源管理工具,进一步验证事实。当时没有截图,大概是21个进程,名为cnrig 13.xxx.xx.xxx(IP地址):80 密钥 一些参数的格式,主进程显示已运行131小时,20个子进程也在100%运行。
到了下午3:30,我偷懒不想读论文(手动狗头保命),就又远程登录服务器,看到这个进程还在运行,我就觉得很奇怪,为什么用20个核心100%运行6小时还跑不完,这是什么程序啊?我上网一搜,发现cnrig原来是这个
一个面向Linux平台的CPU矿机程序!!!我意识到服务器被攻击了,赶紧向师兄汇报。
第一回合:发现被攻击
师兄让我更改root账户和各账户密码,并让我杀掉进程。担心黑客的文件还存在电脑里,可能再次运行,让我找到文件并把文件删了。
我发现文件在这个位置
这是第二回合的结果,第一回合忘记存。第一回合是在/var/tmp/,这个名为“,(逗号)"的文件夹下一个名为cnrig的程序包和nohup.out,我将逗号文件夹删除。
我看到以root账户打开的tmux会话里有三条命令
root:/var/tmp# lkill
lkill未安装
root:/var/tmp# ckill
ckill未安装
root:/var/tmp# kill -1 -1
root:/var/tmp#
这说明黑客具备命令行登录到服务器的能力。这是非常危险的。
在修改完各账号的密码、删除逗号文件夹之后,暂时告一段落,黑客暂时没有继续攻击。
第二回合:卷土重来
到当晚11点,在我断开使用frp搭建的ssh会话之后,我看到还有一个连接。我证实这不是师兄的连接之后,感到不好,看看服务器情况,发现CPU又被占用50%,如图,改为名为xmr的进程。
这回逗号文件夹下出现了miner文件夹,查看内容如下
找到了这个xmr文件。还有那个cnrig文件,让我感觉到还是刚才的黑客所为。
我尝试kill这个进程若干次,发现每次这个进程都能被自动恢复。
晚上我没注意,但好像这时候/home目录下师兄师姐的用户文件夹都被黑客删掉了。第二天早上证实这一点。
这是黑客在我删掉他的挖矿文件、停掉他的进程之后的报复行为!
这说明黑客仍然具备ssh远程登录我的服务器的能力。
我认为是frp工具存在问题,以为存在后门,所以紧急在阿里云服务器的frp server端和实验室服务器的frp client端都关闭frp服务,并打开防火墙(我发现实验室服务器的防火墙已经被黑客关掉了!),关闭frp服务相关的端口,只保留了ssh用到的22端口(因为我在家要远程登录服务器,担心关了22端口我也登不上了)。阿里云服务器防火墙关闭除22端口之外的所有端口。
最后发现黑客还是能登录,证明frp服务应该不存在后门,应该是黑客的程序留了后门让他还能够连接到我服务器的命令行。昨天怀疑frp服务存在后门,向frp项目的开发者说一声对不起!
第三回合:最后的抗争
到了今天上午(1.13),我感觉黑客已经发现我在采取动作,但是他还是具备以root权限控制我服务器的能力。我的抗争很艰难。
我首先登录root账户,安装clamav病毒对抗程序,进行全盘扫描杀毒。之后尝试再次修改用户密码。我知道应该已经没有用了,因为root账户可以修改任意用户的密码。
到上午11点,我无法登录root账户,黑客已经修改了root密码,并kill掉我的杀毒进程。师兄让我尝试远程重装系统。这是非常困难的,网上我虽然找到教程,但是教程提供者说不容易成功。而且root权限在黑客手里,他可以随时决定什么时候改我的密码让我连接不了,所以很难成功。
最后到中午12:50吃完午饭,我发现我被ssh客户端退出,再次登录失败,我的密码被修改。抗争到此结束。
最后的解决方法是师兄联系在学校的师姐进行物理断网,并现场重新安装系统。
经验教训
电脑的登录密码、网关密码等等不能设置过于简单,这样在电脑暴露到公网之后很容易被攻破!
特别是root用户的密码,具有电脑最高控制权限的账户就这样拱手交给黑客,对电脑安全和学校内网设备的安全都带来很大的隐患。服务器上可以运行一些杀毒软件,定期清除病毒程序。
通过这次的情况我发现自己在linux系统的操作维护、网络安全方面存在知识上的不足,我要学习这一块知识,补上这一块的短板,杜绝病毒攻击的再次发生。
记实验室服务器网安事件始末相关推荐
- 关闭word_记一次毕设消失事件始末,及mac+word文档消失恢复方法汇总
系统版本 MacOS 10.15.3,Office Word 版本 16.16.18 cmd+S 保存当前的"0409"文件,关闭,复制并重命名为新文件"0411&quo ...
- 【2020年保研记】浙大软院+中科院信工所+北师大人工智能学院+华中科技网安学院+四川大学网安学院+中山大学系统科学与工程学院
很喜欢<游褒禅山记>里面说的一句话:而世之奇伟.瑰怪,非常之观,常在于险远,而人之所罕至焉,故非有志者不能至也. 保研是为了去更好的学校,更是一个对自己人生的极高要求,唯有会当凌绝顶,才能 ...
- 根据“雷石安全实验室”《一周网安动态》自动生成安全通告
声明获取内容来自"雷石安全实验室"公众号. 根据雷石安全实验室一周网安动态自动生成安全通告 date 获取日期 import requests import re def date ...
- 将简历挂到云服务器网站上记
前几天听朋友说可以在网上申请云服务器,恰好我最近也在找工作,于是我尝试了一下. 1. 申请并连接云服务器 首先,我在百度上找了云服务器,主要有两家:腾讯云.阿里云. 我比较了一下,当时好像阿里云价格要 ...
- 第二届“强网”拟态防御国际精英挑战赛落幕,29支国内外精英队伍未能突破拟态防御,赛宁网安靶场平台完美支撑BWM新赛制.
5月22至23日,由赛宁网安技术支持的第二届"强网"拟态防御国际精英挑战赛在南京江宁圆满落幕!该赛事吸引了网络安全领域及社会各界的广泛关注,本届大赛由中国工程院.中国网络空间安全协 ...
- 腾讯安全“护航舰”亮相网安周,数实融合共筑产业安全防线
网络安全为人民,网络安全靠人民.10月11日上午,一年一度的国家网络安全"顶级盛会"--2021年国家网络安全宣传周网络安全博览会开幕式在西安盛大召开. 据了解,博览会由线下展和线 ...
- 网安面试题汇总--持续记录
介绍:我是一名保安,保卫一方平安,深爱业主小丹,喜欢小熊饼干. 笔者回尝试回答一下面试题并记录,欢迎大佬写下高见. 如下网安面试题,如有侵权,联系笔者删除. 渗透测试(红队攻防) 代码审计 安全研究 ...
- 丈八网安携手众智维 智能化高仿真网络靶场助力安全应急演练
伴随我国数字经济的发展,人工智能等新技术被广泛应用于各行各业.网络安全领域,结合人工智能技术的新场景解决方案也不断涌现.在防患于未然的安全技能攻防演练中,也就是网络靶场的应用场景下,人工智能技术可以为 ...
- 【网安神器篇】——enum4linux枚举工具
作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀成 ...
最新文章
- 从壹开始前后端分离 40 || 完美基于AOP的接口性能分析
- pythontuple数据类型_Python数据类型之元组的详细介绍
- ai不同形状的拼版插件_PCBA加工条件的讲解以及它和PCB的不同
- 【杭电多校2020】Distinct Sub-palindromes【结论】【构造】
- 百度MIP移动页面加速——不只是CDN
- Python矩阵计算
- Spring源码之ApplicationContext(七)获取消息资源
- html制作翻牌游戏,基于javascript实现句子翻牌网页版小游戏
- python写一个木马_Python编写简易木马程序 - 博客频道 - CSDN.NET
- python 空白行_python去掉空白行的多种实现代码
- 信息加工心理学用计算机的工作原理,第四章 认知学习理论 第七节 信息加工学习理论...
- java发卡系统_基于java的网络收费验证系统和在线付费发卡
- 微信小程序审核未通过的 “N” 种原因
- 普通计算机电缆,计算机电缆和普通电缆有什么区别吗?
- 用户的虚拟地址 linux 0 4gb,Linux驱动虚拟地址和物理地址的映射
- Java岗面试:mysql破解版百度云
- 迅睿cms 项目信息自定义字段调用
- Cluster analysis :Basic Concepts and Algorithms -- Part 5 Cluster Evalation
- php pdf文档内容修改,php2pdf-如何使用php修改pdf中的内容,并且保证格式不乱
- Tomcat文件服务器上传文件出错