$V2EX
Solana
Give SOL to Copy Address
使用 SOL 向 isbase 打赏,数额会 100% 进入 isbase 的钱包。
首页 注册 登录
isbase

isbase

V2EX 第 64727 号会员,加入于 2014-06-11 01:13:39 +08:00
今日活跃度排名 4566
PRO
PRO 会员
根据 isbase 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
isbase 最近回复了
1 天前
回复了 aozrobot 创建的主题 宽带症候群 礼貌问一下大家有必要升级千兆吗
500 Mbps 是一个折中的选择。

我原来也是 1000 Mbps ,一路从 100 Mbps 升级到了 1000 Mbps 。后来用了一段时间,降到了 500 Mbps ,现在已经用了好几年了。

我觉得 500 Mbps 在大部分情况下是足够用的,除了偶尔 PT 下载的时候确实有点慢,但问题也不大啊。

另外,很多这种代理服务,包括常规的这种 CDN 服务,能跑满千兆的不多。能跑个两三百兆,甚至五六百兆,就已经非常牛了。
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@14night 本地配置好 SSH 配置,不管是密码还是密钥,反正配置好。然后在 Cursor 里面跟 AI 说:这台 VPS 怀疑被入侵了,ssh { host 别名}上去排查一下。
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@busier 没有拿到控制面板权限,但是暴力扫描到了 宿主机的 vnc 端口,进而连到了我的 vps ,密码也被爆破了
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@NoCash 我是用 cursor ,大部分在本地运行的 agent 工具都可以实现类似效果,例如 codex / claude code ,直接让 ai ssh 上去就行了
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@lemonda
@terence4444 是个很冷门小众的服务商。普通用户正常不会用的
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@ShinichiYao
@deepbytes
@hronro

调查结论:scanner 用户来源分析
铁证:/.bash_history
攻击者通过 GRUB 修改内核启动参数 init=/bin/bash 获得了无需认证的 root shell ,在这个 shell 中执行了以下 4 条命令(记录在 /.bash_history 中):

mount -o remount,rw /
adduser scanner
usermod -aG sudo scanner
exec /sbin/init
这就是 scanner 用户的确切创建方式。

完整攻击时间线( 2026 年 2 月 19 日)
时间 (UTC) 事件
17:16:00 攻击者在 tty1 (物理/KVM 控制台)尝试登录,用户名未知,登录失败
17:16:06 系统收到 SIGINT ( Ctrl+Alt+Del ),开始重启
17:17:04 新内核启动,内核命令行包含 init=/bin/bash
~17:17:04-10 攻击者在 root shell 中执行上述 4 条命令创建 scanner 用户
17:17:10 exec /sbin/init 后 systemd 启动,getty 在 tty1 显示登录提示
17:17:13 scanner 在 tty1 成功登录
17:17:57 scanner 使用 sudo 编辑 /etc/ssh/sshd_config (添加端口 22 )
17:19:00 scanner 使用 sudo 重启 SSH (现在同时监听端口 22 和 16922 )
17:19:09 远程 IP 212.192.31.88 (德国)通过 SSH 密码登录 scanner
19:41-19:44 IP 144.31.184.1 发起多次自动化 SSH 会话(部署工具)
关键证据详解
1. 内核启动参数

syslog 中记录的新内核启动命令行:

BOOT_IMAGE=/boot/vmlinuz-6.8.0-100-generic root=UUID=... rw net.ifnames=0 biosdevname=0 init=/bin/bash
init=/bin/bash 不在 GRUB 默认配置中(/etc/default/grub 中的 GRUB_CMDLINE_LINUX 只有 net.ifnames=0 biosdevname=0 ),这是攻击者在 GRUB 引导菜单中手动临时添加的。

2. 为什么日志中没有 useradd 记录

因为 init=/bin/bash 启动时,系统只运行了一个 bash shell ,syslog/rsyslog/auth.log 都没有启动。所以 adduser scanner 的操作完全没有被 auth.log 记录。这也是为什么你在所有日志中都找不到用户创建记录。

3. GRUB 没有密码保护

/etc/grub.d/ 中没有设置任何密码。GRUB_TIMEOUT=0 且 GRUB_TIMEOUT_STYLE=hidden ,但攻击者在启动时按住 Shift/Esc 即可进入 GRUB 编辑界面。

4. VPS 上根本没有安装 VNC

服务商邮件中提到的 "弱 VNC 密码" 理论是完全不成立的——系统上没有安装任何 VNC 软件包,没有 VNC 服务,没有 VNC 密码文件。

5. 攻击前无 SSH 入侵迹象

auth.log.4.gz ( Feb 8-14 )和 auth.log.3.gz 中 Feb 19 重启前的记录仅有正常的 CRON 活动,没有任何成功的 SSH 登录。

结论:
scanner 用户是通过 KVM/VNC 控制台访问 + GRUB init=/bin/bash 技术创建的。

攻击方式有以下特征:

不可能 通过 SSH 或任何网络服务远程实现
必须 能够在 GRUB 引导阶段与控制台交互(即需要 KVM/VNC 访问权限)
攻击者需要:看到 GRUB 菜单 -> 按 'e' 编辑 -> 添加 init=/bin/bash -> 按 F10/Ctrl+X 启动


---
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@isbase 典型的 ai 幻觉害死人
2 天前
回复了 isbase 创建的主题 VPS VPS 被植入俄语暴力破解工具跑了 20 天才发现,复盘整个入侵过程
@loveqianool 拉黑吧。 之前就是被这个回答坑了才设置 99 。 不过我用的是 gpt
6 天前
回复了 tracymcladdy 创建的主题 Apple TV 如何看 apple tv 官方的 F1 直播呀
它没有中文解说,所以有点鸡肋,虽然画质很好。
8 天前
回复了 anyChris 创建的主题 Claude Code Claude Code 用中转 API 有没有坑?想听听大家的实际体验
没坑是不正常的
» isbase 创建的更多回复
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1013 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 14ms · UTC 23:33 · PVG 07:33 · LAX 16:33 · JFK 19:33
♥ Do have faith in what you're doing.