缘起
小白自己是写了一个自己用的小鸡重装首次运行脚本,主要就是装好一些常见的程序,然后git clone一些我个人常用的仓库,其中包括:https://github.com/seal0207/EasyRealM 这个realm的安装脚本,其实已经很久不用的,但是脚本也就一直懒得改了。最近,某一天,我登录小鸡,偶然间,发现EasyRealM目录下,跑起了一个名称为1的进程,也没用它安装realm,今天突然发现多了一个叫1的进程,监听了我的2019端口,目录里面也多了一个名称为1的可执行文件,如下图:
尝试运行了一下那个文件:
可能原因
有坛友指出,也许就是realm本身:
目测这个1就是realm,如果是几MB的话那肯定就是了,GO屙出来的东西又臃又肿
小白去看了下大小,有12M,感觉不像……
求助大佬
小白去询问了两位大佬,大佬的分析如下:
这是1这个可执行文件的日志:
ip: 10.0.4.1/29, web: http://10.0.4.2:80, mode: web
看起来,监听了一个内网端口,起了一个内网80的web页面,可是他监听一个内网端口又啥用呢?另一位大佬一语点醒梦中人:
那就只有可能是ssh被爆破了,不然不可能平白无故多了一个可执行文件,然后查看了一下ssh登录记录,果然……寄……
然后看了一下,登录日期,去年的十月份,就被爆破了……
一点猜测
对方貌似是先爆破了我的一台机器,然后和我的另外几台机器组类似于TUN内网,通过TUN出去的……我不知道对方目的是啥……下面是我找到的几个登录IP:
大佬,潜伏了好几个月了,小白我感谢大佬的不杀之恩,真的……
关于那个进程,小白不知道是用来干啥的……待会我会把可执行文件和日志放在文章结尾,各位懂得大佬,可以自行研究。
反思
放弃密码登录,改用密钥登录,不要用默认22端口,还有保护好自己的私钥……
附件
可执行文件:
https://yun.vpsxb.net/download/1
日志(其中x.x.x.x为我自己的IP,其他IP为未知IP):
https://yun.vpsxb.net/download/log
还望大佬不吝赐教。