这是一个创建于 1457 天前的主题,其中的信息可能已经有所发展或是发生改变。
在宿舍放了一个 OpenWRT 路由器,为了方便远程管理开了 ssh 传入。弱点就是单 root 用户,而且是密码登录。 原本心想是在学校内网就没有太大事情,结果今天就出事了。
想用 ps 命令看一下后台进程的,看到了这个: 
ash -c /bin/sh -c 'P=python3; $P -V 2>/dev/null || P=python; exec "$P" -c '"'"'import sys, os; verbosity=0; sys.stdin = os.fdopen(0, "rb"); exec(compile(sys.stdin.read(1486), "assembler.py", "exec"))'"'"'' 绝对是通过什么手段注入进来的,现在大学内网环境也不安全啊,感叹。 路由器是 mips 架构的,flash 很小,目前还有 124K 。感觉是对方没能把后面的脚本塞进去,放弃了,上面的进程还跑着。
Filesystem Size Used Available Use% Mounted on rootfs 5.2M 5.1M 124.0K 98% / SSH 连接日志也没有,用 htop 看到进程是晚六点启动的。
向各位大神请教下这个 one-liner 有什么含义。
 | 1 ccino 2021-11-29 19:27:15 +08:00 via Android 不懂,帮不了楼主。。。 |
 | 2 iceheart 2021-11-29 19:32:53 +08:00 via Android 看父进程 id,跟你的 ps 命令是同一个,也就是 bash 进程 |
 | 3 wevsty 2021-11-29 19:36:19 +08:00 大概就是从 stdin 读了一个什么东东然后执行起来了。 |
 | 4 eason1874 2021-11-29 19:37:25 +08:00  3 这就是你自己在用的 sshuttle 吧。。。 不过学校这种地方的内网确实不安全的,大部分大学生的电脑约等于养蛊机器,得注意防护 |
 | 5 mikewang OP @iceheart 还真不是,那个 ash 父进程是 24085 的 dropbear (提供 ssh 服务的),和我不在同一个父进程下面。 |
 | 7 sola97 2021-11-29 19:45:44 +08:00 1  破案了 |
 | 8 fan88 2021-11-29 19:59:15 +08:00 openwrt 也没这么脆弱。除非弱口令,一般也没这么多漏洞可以打 |
 | 9 Marionic0723 2021-11-29 21:48:15 +08:00 via Android 关闭外网的权限,用 zerotier 组一个虚拟局域网用吧,需要的时候,手机接入就能直接访问。 |
 | 10 yaott2020 2021-11-29 22:03:05 +08:00 openwrt 别用 openwrt 做 ssid ,密码也是 1234567890 ,ssh 密码也简单,简直找死。遇到过一个,直接黑进 ssh ,还好遇到我。。 padavan 和上面一样 |
 | 11 rayhy 2021-11-30 07:28:38 +08:00 via Android 大学内网病毒更是肆虐无阻…我有管理着实验室服务器,天天最怕的事情就是中毒。搞到最后,ssh 端口换了,密码、root 登录关了,每个机器只剩下一个用户了。甚至有的机器只能 zerotier 连上。就这样也慌的一 B |
 | 12 icegaze 2021-11-30 08:59:18 +08:00 via Android @rayhy 可以用证书啊,关闭密码登录, 网上随意逛的人搞出来对应你机器的正确的证书那基本是不可能的… |
 | 13 lB2cGz9OQ1agw7XK 2021-11-30 10:14:42 +08:00 有内鬼 |
 | 14 andyskaura 2021-11-30 11:58:55 +08:00 @szqhades 内鬼竟是我自己 23333 |
 | 15 flynaj 2021-11-30 16:45:04 +08:00 via Android 弱口令,默认端口,什么系统都可能被黑。 |
Select Language