这是一个创建于 4270 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.cert-bund.de/ebury-faq
侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
侵入了SSH服务器,会开后门,偷走所有经过本机的SSH用户名密码、密钥等
在本机运行ipcs -m,如果发现666权限,超过3M的空间那就是中毒了
介绍里还有一句很重要:
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [3].
 | 1 ScotGu 2014-03-23 21:36:17 +08:00 哇~~~ 赶紧检查了一下。。。 |
 | 2 yylzcom 2014-03-23 21:44:41 +08:00 感谢提醒,昨天看到新闻了,没注意。刚才通通排查了一遍,没有发现被感染的迹象。 所有服务器都是单独密钥,openssh换成了dropbear,端口号都改过 |
 | 3 initialdp 2014-03-23 21:47:01 +08:00 还好,没中毒。 |
 | 4 binux 2014-03-23 21:56:00 +08:00 有一台中毒了,其他的没事,按照传播途径来说,所有登录都是用同一个密钥,而且禁用了密码登录 后台没有用cPanel,系统和软件是官方源安装的。。不知道怎么中的。。 ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x000005a5 0 100 666 3429836 0 |
 | 6 cielpy 2014-03-23 22:14:25 +08:00 ky shmid owner perms bytes nattch status 0x00000000 0 root 600 524288 4 dest 没中。有预防措施吗。 |
 | 7 lyragosa 2014-03-23 22:22:38 +08:00 ~ ipcs -m ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 空的 表示没问题吗? 我的网站都是手动配置的环境 ,从不用控制面板。 |
 | 8 xd547 2014-03-23 22:33:33 +08:00 ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 同问空的是没有问题吗? |
 | 9 niseter 2014-03-23 22:54:23 +08:00 同问什么情况是正常的? |
 | 11 darksheen 2014-03-23 23:22:56 +08:00 ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x00000000 0 root 600 524288 7 dest 0x000005ff 32769 ntp 666 3301428 0 0x000005dc 65538 ntp 666 2870144 0 0x000006c2 98307 tcpdump 666 2822960 0 难道我中招了? |
 | 12 ericls 2014-03-23 23:37:51 +08:00 还好 都没中 从来不开密码登陆。。 |
 | 13 lsylsy2 OP |
 | 15 sitin 2014-03-24 00:48:56 +08:00 还好,安全。 |
 | 16 yanwen 2014-03-24 01:28:40 +08:00 |
 | 19 2ex 2014-03-24 08:07:16 +08:00 via Android 这个要回去查查.服务器太多了 |
 | 20 anheiyouxia 2014-03-24 08:43:01 +08:00 谢谢提醒,还好没中,一直都是改了端口,没禁用root和密码登陆也没事,我是不是应该继续侥幸下去? ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status |
 | 21 TankyWoo 2014-03-24 10:20:40 +08:00 没中,我ssh只允许公私钥登录 |
 | 22 hadoop 2014-03-24 10:35:33 +08:00 我一堆600权限的 有没有问题? ------ Shared Memory Segments -------- key shmid owner perms bytes nattch status 0x00000000 1731919872 azureuser 600 196608 2 dest 0x00000000 1733525505 azureuser 600 2579992 1 dest 0x00000000 1852211202 azureuser 600 2579992 1 dest 0x00000000 1852178435 azureuser 600 998400 2 dest 0x00000000 1734082564 azureuser 600 2725872 1 dest |
 | 23 Actrace 2014-03-24 10:37:10 +08:00 独立服务器路过. |
 | 24 icedx 2014-03-24 11:29:28 +08:00 还好,没中毒. |
 | 25 wulin 2014-03-24 11:36:14 +08:00 端口改了,233333 |
 | 28 onemoo 2014-03-25 00:36:54 +08:00 谢谢楼主提醒 赶紧检查了一下 应该没有问题 |
 | 29 bitbegin 2014-03-25 23:36:52 +08:00 via Android mark |
Select Language