【运维笔记】面板被入侵？原来是破解脚本在搞事

起因：有用户找过来，说面板被他人登录，以下是聊天截图

排查经过：

经用户提供面板帐号密码并授权，我司技术人员登录面板进行排查：

面板基本安全配置：

授权IP：否

配置安全入口：是

修改别名：是

BasicAuth认证：否

密码复杂度验证：否

密码过期时间：否

绑定域名：否

API接口：已开启

动态口令认证：否

访问设备验证：否

已修改默认用户密码：是

一、查看面板登录日志发布确实有一个面板用户为：

lcjlishb的用户在2022-01-06 22:07:01（通过IP：118.249.40.148:63686，IP归属地：湖南省长沙市电信）成功登录面板

二、分析事件当天的面板访问日志，发现以下情况：

1、面板安全入口已泄漏

2、有1次失败的登录记录

三、排查面板数据库

发现用户表中被增加了lcjlishb用户

四、查看命令行历史记录文件 /root/.bash_history

发现该机器执行过某破解脚本，如下图：

五、排查该破解脚本

发现以下3个文件和/etc/init.d/bt启动文件被非法篡改

提醒：我们提供的免费版功能已基本满足大多数用户需求，请不要执行带有安全隐患的第三方破解脚本

参考另一篇运维笔记：https://www.bt.cn/bbs/thread-85448-1-1.html

北熙宝宝 · 发表于 2022-1-6 10:14:43

太可怕了，这些破解版

桥哥 · 发表于 2022-1-6 10:36:50

请勿执行任何的破解版安装脚本，存在极大的安全风险，会被植入木马病毒且不易被发现，一旦执行，您的服务器就变成了别人的肉鸡。

易豪云 · 发表于 2022-1-6 10:46:46

我不说话了

一个老项目经理 · 发表于 2022-1-6 11:40:58

那些用了破解版的人还去找官方救命古人云点什么描述一下？

痞子哥 · 发表于 2022-3-3 09:38:10

太可怕了，数据安全更重要

未来De神 · 发表于 2022-4-6 07:15:36

就在刚刚我发生了相同遭遇

https://yu.al/bbs/thread-7345-1-1.html

未来De神 · 发表于 2022-4-6 07:16:51

就在刚才我发生了一模一样的神器遭遇

开心面板破解版受害者
https://yu.al/bbs/thread-7345-1-1.html

未来De神 · 发表于 2022-4-6 07:18:32

就在刚才我发生了一模一样的神器遭遇

开心面板破解版受害者
https://yu.al/bbs/thread-7345-1-1.html

c3pool.rar (2.58 MB, 下载次数: 8191)

1501334933kckd · 发表于 2022-4-7 20:59:37

未来De神发表于 2022-4-6 07:18
就在刚才我发生了一模一样的神器遭遇

开心面板破解版受害者

哥哥，你的SSH密码是在太简单了。搞个32位长度随机字符英文的吧。