推荐书目 高性能网站建设进阶指南
High Performance Web Sites
Google Hacks: Tips & Tools for Finding and Using the World's Information
关于 Google SEO 最好的一本书
High Performance Web Sites Google Hacks: Tips & Tools for Finding and Using the World's Information 关于 Google SEO 最好的一本书 
这是一个创建于 731 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的一台服务器被 ban 了,搞不清楚哪里出现的问题,然后再 docker image 下发现这几个我都不知道干嘛的 image ,肯定不是我装的。而且这个应该是第二次被装了。我搞不清楚哪里出了问题。之前我手动删了一次。
ssh 用的密钥登陆的 就安装了 x-ui ,vpn,frp 等常用应用,没装其他东西。
traffmonetizer/cli_v2 latest 8c010a9dea88 4 months ago 29.2MB containrrr/watchtower latest f847e1adb570 10 months ago 14.6MB fazalfarhan01/peer2profit latest cfb01c2ddbb2 2 years ago 132MB
第 1 条附言 2023-12-19 13:13:30 +08:00
发现我的登陆证书都被换掉了 .ssh/authorized_keys 都变成他自己的key了。。。
第 2 条附言 2023-12-19 14:52:19 +08:00
发现根目录下一堆这个东西,异常的。
.configrc5 ll -al
total 24K
drwxr-xr-x 4 root root 4.0K Dec 19 08:16 .
drwx------ 12 root root 4.0K Dec 19 14:48 ..
drwxr-xr-x 2 root root 4.0K Dec 19 12:16 a
drwxr-xr-x 2 root root 4.0K Dec 19 12:16 b
-rw-r--r-- 1 root root 251 Dec 19 08:16 cron.d
-rw-r--r-- 1 root root 17 Dec 19 08:16 dir2.dir
.configrc5 more cron.d
5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X291-unix/.rsync/c/aptitude>/dev/null 2>&1
.configrc5 ll -al
total 24K
drwxr-xr-x 4 root root 4.0K Dec 19 08:16 .
drwx------ 12 root root 4.0K Dec 19 14:48 ..
drwxr-xr-x 2 root root 4.0K Dec 19 12:16 a
drwxr-xr-x 2 root root 4.0K Dec 19 12:16 b
-rw-r--r-- 1 root root 251 Dec 19 08:16 cron.d
-rw-r--r-- 1 root root 17 Dec 19 08:16 dir2.dir
.configrc5 more cron.d
5 6 * * 0 /root/.configrc5/a/upd>/dev/null 2>&1
@reboot /root/.configrc5/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.configrc5/b/sync>/dev/null 2>&1
@reboot /root/.configrc5/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X291-unix/.rsync/c/aptitude>/dev/null 2>&1
 | 1 adoal 2023-12-19 13:16:41 +08:00 某个服务被爆栈溢出或者逃逸,写文件了…… 服务不应该用交互登录的帐号来跑。 |
 | 2 x86 2023-12-19 13:18:03 +08:00 拿你服务区当梯子或中转了,输入 x-ui 可以查看面板信息,登入进去瞅瞅都配置了啥 |
 | 3 findwho OP |
| 4 adoal 2023-12-19 14:13:24 +08:00 @findwho 看来你不懂我说的什么意思。具体解释一下吧,比如你用 findwho 这个帐号登录了,然后同一个帐号下载个 web 服务的软件(就先假设是 x-ui 吧),用这个帐号安装软件,再用这个帐号启动软件,那么软件 x-ui 运行时的用户身份就是 findwho ,那么帐号 findwho 能做的操作,x-ui 这个程序都能做。如果你装的这个 x-ui 的版本有代码漏洞,又没及时更新修补,或者有配置上的漏洞,那么别人有可能通过远程 web 访问就让它执行任意操作,这时别人就可以指挥 x-ui 在 findwho 的家目录里肆意妄为,包括但不限于改动.ssh/authorized_keys 文件,甚至可以改动安好的 x-ui 程序,在里面埋上更隐蔽的木马。一个合理的办法是,用专门的服务帐号来启动 x-ui ,并且要写 systemd unit 来启动,不要用能 login 的帐号,还要给这个帐号设置合理的 home 目录和 shell ,让它不能乱写入也不能登录。 所以 Linux Standard Base 里的 Filesystem Hierarchy Standard 推荐了文件系统里不同路径配置不同权限做不同功能的建议,rpm/deb 等发行版打的包也会在安装时为后台服务创建专用的非交互帐号。 |
 | 5 Lekou 2023-12-19 14:16:59 +08:00 证书被换了,第一时间想到了 redis 。。 |
| 6 findwho OP @adoal 好的,非常感谢。向我这种情况该怎么查。目前就这两个发现。 其实刚登陆 vps 的时候,发现 cpu 占用很高,某个异常应用占的,然后我直接 kill 了,没注意路径。 |
 | 7 hefish 2023-12-19 14:54:03 +08:00 x-ui 有好多漏洞的。我自己不敢用。 |
 | 8 yeqiling 2023-12-19 15:20:44 +08:00 via Android 楼主这是被弱口令爆破了,我前两天轻量也遇到了这个问题,占用较高是因为有 kswapd0 进程在挖矿。可以按照网络上的操作修复该问题,清理定时任务,移除.ssh ,修改密码等。另外建议别用一键脚本,自己搭建好一些。https://zhuanlan.zhihu.com/p/465487828 |
Select Language