当前位置:论坛首页 > Linux面板 > 讨论

【运维笔记】面板被入侵?原来是破解脚本在搞事

发表在 Linux面板2022-1-6 10:05 [复制链接] 10 9770

起因:有用户找过来,说面板被他人登录,以下是聊天截图

图片1.png
排查经过:
经用户提供面板帐号密码并授权,我司技术人员登录面板进行排查:

面板基本安全配置:
授权IP:否
配置安全入口:是
修改别名:是
BasicAuth认证:否
密码复杂度验证:否
密码过期时间:否
绑定域名:否
API接口:已开启
动态口令认证:否
访问设备验证:否
已修改默认用户密码:是

一、查看面板登录日志发布确实有一个面板用户为:
lcjlishb的用户在2022-01-06 22:07:01(通过IP:118.249.40.148:63686,IP归属地:湖南省长沙市 电信成功登录面板
333333.png

二、分析事件当天的面板访问日志,发现以下情况:
1、面板安全入口已泄漏
2、有1次失败的登录记录

图片3.png

三、排查面板数据库
   发现用户表中被增加了lcjlishb用户

图片4.png

四、查看命令行历史记录文件 /root/.bash_history
   发现该机器执行过某破解脚本,如下图:
111.png

五、排查该破解脚本
   发现以下3个文件和/etc/init.d/bt启动文件被非法篡改
图片6.png



提醒:我们提供的免费版功能已基本满足大多数用户需求,请不要执行带有安全隐患的第三方破解脚本

参考另一篇运维笔记:https://www.bt.cn/bbs/thread-85448-1-1.html

使用道具 举报 只看该作者 回复
发表于 2022-1-6 10:14:43 | 显示全部楼层
太可怕了,这些破解版
使用道具 举报 回复 支持 反对
发表于 2022-1-6 10:36:50 | 显示全部楼层
请勿执行任何的破解版安装脚本,存在极大的安全风险,会被植入木马病毒且不易被发现,一旦执行,您的服务器就变成了别人的肉鸡。
使用道具 举报 回复 支持 反对
发表于 2022-1-6 10:46:46 | 显示全部楼层
我不说话了

改过自新的榜样[手动献花]  发表于 2022-1-6 11:45
使用道具 举报 回复 支持 反对
发表于 2022-1-6 11:40:58 | 显示全部楼层
那些用了破解版的人还去找官方救命 古人云点什么描述一下?
使用道具 举报 回复 支持 反对
发表于 2022-3-3 09:38:10 | 显示全部楼层
太可怕了,数据安全更重要
使用道具 举报 回复 支持 反对
发表于 2022-4-6 07:15:36 | 显示全部楼层
就在刚刚 我发生了 相同遭遇

https://yu.al/bbs/thread-7345-1-1.html
使用道具 举报 回复 支持 反对
发表于 2022-4-6 07:16:51 | 显示全部楼层
就在刚才 我发生了 一模一样的神器遭遇

开心面板 破解版 受害者
https://yu.al/bbs/thread-7345-1-1.html
使用道具 举报 回复 支持 反对
发表于 2022-4-6 07:18:32 | 显示全部楼层
就在刚才 我发生了 一模一样的神器遭遇

开心面板 破解版 受害者
https://yu.al/bbs/thread-7345-1-1.html c3pool.rar (2.58 MB, 下载次数: 8295)
使用道具 举报 回复 支持 反对
发表于 2022-4-7 20:59:37 | 显示全部楼层
未来De神 发表于 2022-4-6 07:18
就在刚才 我发生了 一模一样的神器遭遇

开心面板 破解版 受害者

哥哥,你的SSH密码是在太简单了。搞个32位长度随机字符英文的吧。
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表