自用开发服务器被黑了,怎么看黑客在我机器上做了什么?

查看 76|回复 6
作者:skyrem   
是这样,我家里有一个自用的 INTEL NUC ,装了 Fedora 38,平时配置了 authorized_key ssh 上去开发用
用 Frp 映射了一个公网服务器端口,想着出门在外有事的时候可以连回来。另外我的 Root 密码比较简单。
今天 ssh 这台机器发现要密码,root 密码被修改。上一次连这台几器是昨天下午。
通过修改启动菜单找回密码后,没有发现占用 CPU 较高的进程,bash_history 被清空, .ssh/authorized_keys 文件被清空并设置了 immutable 属性.
/home 目录下新建了一个 tutu 文件夹,看了下没什么有价值的信息
```
-rw-r--r-- 1 root root 18 Feb 6 2023 .bash_logout
-rw-r--r-- 1 root root 141 Feb 6 2023 .bash_profile
-rw-r--r-- 1 root root 492 Feb 6 2023 .bashrc
-rw-r--r-- 1 root root 299 Jan 21 2023 .zprofile
-rw-r--r-- 1 root root 658 Jan 21 2023 .zshrc
```
另外还可以查看些什么被修改的地方?

root, rw-r--r--, ssh, Feb

x86   
看都不用看,不是挖坑就是留着以后 DDOS
bkmi   
我好奇的是怎么被黑的,都跑了什么服务,ssh 关闭密码登录没,如果没关,那只能说该。
sheeta   
《 另外我的 Root 密码比较简单》
skyrem
OP
  
@bkmi #2 没关密码登录

,在 Docker 里跑了 Frp ,和一些 web 应用,postgres ,kafka ,nginx 啥的
skyrem
OP
  
@sheeta #3 我反思,我检讨

n2l   
吃过亏长记性就好啦。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部