all in boom开的虚拟机被黑了

Skywalker

一直是电信v4内网，就没怎么注意安全，年前把ipv6配置上了，没想到就翻车了
原来是frp搞的，走的还是50022高端口

之前是为了开samba，建了个kodi用户，用的弱口令，忘记关ssh权限

这两天回来发现主机风扇狂转，上pve看了下load直接到6了，跑虚拟机里看了下是个叫sshd的进程
后面研究了下发现是伪装的二进制文件，估计是cpu挖矿的
查了下这个用户的历史命令，不知道还有没有隐患

现在已经把用户删掉了，fail2ban之前装上忘记systemctl enable了，真的**

论坛code直接不给插命令，只好传图了

Skywalker

之前一天1.2度，挖矿跑起来直接2.7度了

我是一只小猫咪

虚拟机删了重建完事了，又不是pve主机被黑

Skywalker

我是一只小猫咪 发表于 2024-2-21 18:08
虚拟机删了重建完事了，又不是pve主机被黑

东西挺多的，来回配很麻烦，这台机子主要做下载用
要是没其他问题我就不重装了

我是一只小猫咪

Skywalker 发表于 2024-2-21 18:10
东西挺多的，来回配很麻烦，这台机子主要做下载用
要是没其他问题我就不重装了 ...

那你居然不做快照，讲道理用pve起码有7成理由是奔着快照功能才对

Skywalker

我是一只小猫咪 发表于 2024-2-21 18:11
那你居然不做快照，讲道理用pve起码有7成理由是奔着快照功能才对

直通了个7.68t的u2，这快照个毛线

dengdeng

v6也会被扫啊

Skywalker

dengdeng 发表于 2024-2-21 18:37
v6也会被扫啊

经过你这么提醒我忽然想起来了，应该是frp穿透进来的，我之前查了下kodi的登陆ip，显示的127.0.0.1
ipv6还是不太可能被扫

主要问题还是弱口令+没关login权限的问题

hdwzk1

Skywalker 发表于 2024-2-21 18:07
之前一天1.2度，挖矿跑起来直接2.7度了

老哥 这是什么插座

dengdeng

Skywalker 发表于 2024-2-21 18:51
经过你这么提醒我忽然想起来了，应该是frp穿透进来的，我之前查了下kodi的登陆ip，显示的127.0.0.1
ipv6 ...

frp那就对了，我之前也被爆破过