绿云被人入侵并用作挖矿

havoc06 · 发表于 2020-10-18 23:40:01

本帖最后由 havoc06 于 2020-10-19 13:05 编辑

这个帖子的标题原来是“绿云的系统镜像可能存在一些问题，被拿去挖矿了”，但是我和客服说了很久，他们都坚持认为他们的镜像没有问题，那我就改成我自己的服务器被入侵并用作挖矿的记录吧，希望能给大家一些警示。

今天登陆了绿云的一台机器后发现占用始终是100%，一看占用第一的进程 xmrig,居然是被人拿去挖门罗币了，又看了看另一台绿云的机器也是同样的情况，一开始我怀疑是我笔记本出了问题，但是看了看，其他服务商的服务器都没出问题。然后检查被拿来挖矿的这两台机器，都是用了debianuser这个用户，检查了一下/etc/shadow文件，这个默认的普通账户居然一开始就设置了密码，查看登录日志，黑客基本在几次登陆后就登录成功了（有一台服务器甚至是一次就登陆成功了）。

接着他执行了下面这个脚本,开始挖矿。

绿云debian10镜像的 debianuser账户的初始密码，要么很弱，要么就有着一定的规律。绿云用着debian10的朋友可以留意一下，如果不用这个账户直接 passwd -l debianuser。或者干脆userdel删除掉这个用户。

403_Forbidden · 发表于 2020-10-18 23:42:42

我自己安装了其他的系统，没用模板。

havoc06 · 发表于 2020-10-18 23:43:19

403_Forbidden 发表于 2020-10-18 23:42

我自己安装了其他的系统，没用模板。
真的没想到除了root，他这个镜像还设置了普通账户以及密码

403_Forbidden · 发表于 2020-10-18 23:42:00

havoc06 发表于 2020-10-18 23:43

真的没想到除了root，他这个镜像还设置了普通账户以及密码
尽量不要用模板吧，我用全都自定义安装的。内存小就自己安装Debian，内存大的可以安装CentOS 8或者其他的了。

lijihede · 发表于 2020-10-18 23:45:02

绝对是模板的问题，因为干净的系统没有这个用户

wifitry · 发表于 2020-10-18 23:43:00

感谢分享经验

Firedoge · 发表于 2020-10-18 23:45:09

一直都是禁止密码登录

nekobiu · 发表于 2020-10-18 23:45:27

机器到手，第一件事就是证书登陆+禁止密码登录，不就完事了

caddy · 发表于 2020-10-18 23:49:58

caddy 发表于 2020-10-19 02:06

机器到手，第一件事就是证书登陆+禁止密码登录，不就完事了
我就没想到他家还另外有个默认账户，而且这个密码估计还很弱或者有一些特征，黑客几次尝试就能破解出来.看了下我的也有……还好一开始就禁用了密码登录

havoc06Erik · 发表于 2020-10-19 01:42:58

买鸡第一件事是dd系统，第二件是禁用密码，root登录，改密钥认证

绿云被人入侵并用作挖矿

本帖子中包含更多资源