日期: 2023年12月06日
事件: 收到阿里云告警消息,被限制访问外部端口。
您的云服务器(
*.*.*.*)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(TCP:22222、2222、22)的访问,阻断预计将在2023-12-07 05:56:56时间内结束,请及时进行安全自查。若有疑问,请工单或电话联系阿里云售后。感谢您对阿里云的支持。
登录不了服务器,因为原来的 SSH key 被擦除了。
从阿里云提供的控制台登录,进行操作。
发现 CPU 使用率较高, 部分进程被杀。
看到 ~/.ssh/authorized_keys 文件中存在以下的SSH的public key:
ssh-rsa
AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1
+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx
+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB
+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE
6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww
+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6
+i6rBLAsPKgAySVKPRK+oRw==
mdrfckr
搜索关键字: mdrfckr, 找到了以下的解决方案:
参考解决方案
弱密码一直存在,持续了好几年时间,但是并没有受到攻击。
2023年12月05日,通过浏览器操作,购买了杭州节点的另一台阿里云服务器,并设置了同样的密码。
浏览器中使用了一个插件, 【广告终结者】,该插件具有一定的权限。
另外,使用的是 【搜狗输入法】,输入法具有读取输入和剪贴板等权限。
怀疑是这两者有一个泄露导致攻击。