昨天发生了一系列难忘的事,到现在都没完全平静下来。
这个月安全事故太多了,还好这些都是我的个人项目,我也只是玩玩而已。从 6 月 12 日被腾讯云警告网站跳转赌博网站,到 6 月 17 日因为哪吒面板严重漏洞导致我 4 台设备中了挖矿病毒——安全意识急需加强,防护手段也得跟上。
网站被挂马
6 月 12 日中午,收到腾讯云的短信,被告知名下域名 1du.fun 被跳转赌博网站,让我及时整改。
我第一反应还以为是误报,或者 DNS 劫持。当我试了几个服务器绑定的网站,发现全部跳转到赌博页面,我慌了。
第一次遇到这种事。之前只是在群里听别人讲网站被挂马的故事,现在真真切切落到自己身上了。没有一点经验的我,第一个想法就是重装服务器。数据什么的也不敢要了,根本不知道哪些文件被污染了。
重装完成,再测试就恢复正常了。
经营多年的个人数据毁于一旦。当时太慌了,没查清楚到底从哪泄露的,但大概率是自己把服务器的 SSH 密码分享给了 Codex,忘记及时销毁了。贪图一时方便,让 AI 自己去测试项目,结果导致权限泄露。
服务器中病毒
6 月 17 日,像往常一样,先翻开主题群看看有什么消息,看到有人说哪吒面板有高危漏洞,大量服务器被植入病毒,让及时检查。
我自己也部署了哪吒面板,但当时没当回事。
当我看着哪吒面板里大量服务器离线-恢复-再离线的通知,想找 AI 问问是什么问题。因为是甲骨文服务器,想着是国际线路通讯失败的问题。当我登上甲骨文后台,发现被创建了两台 4+24 的机器(升级了账户),已经产生了 0.23 新币的费用。还好没运行多久,先及时终止了实例。
我确实挂过 R 探长抢机器的脚本,但在我升级账号前就关闭了。我用 AI 辅助查了审计日志,确实是通过 API 创建的,怀疑脚本又被启用了。又去查脚本宿主机——就是其中一台频繁离线的设备,发现 CPU 持续占用 99%,SSH 都很难连进去,当时还一脸懵。
我打开哪吒探针面板,发现 4 台设备都这样,CPU 持续走高,包括我自己的 NAS 设备。我访问 NAS 看进程,发现了一个异常进程 <code>xmrig</code> 持续吃 CPU,我当时不认识这东西,右键搜了一下,搜索引擎显示是一个挖矿病毒。
我更慌了。原来我早就中招了。早上看到别人发的哪吒面板高危漏洞时,我就该去检查自己的机子。
纯属猜测,我应该是 16 日下午就被黑了。抢甲骨文机器的脚本宿主机应该是被挖矿病毒占用到崩溃,重启时把脚本给复活了。这大概也是我哪吒面板通知里几台设备频繁掉线的原因。
找到问题后,反而不慌了。看了看进程,感染了四台设备,有 3 台还没有症状,待排查。请出我的 AI 老师,帮我剿灭病毒,一步一步执行下去,终于看到设备 CPU 占用正常了。
最后甲骨文账号的令牌删了,服务器的防火墙开了,端口收紧了。这些事故对我还是有很大意义的。
检测清理 Xmrig 病毒方案
我发现病毒的时候,就直接把全部设备的哪吒面板监控端和服务端都卸载了。我什么都不懂的小白,AI 老师一步一步指导,我给反馈终端输出,艰难地完成了清理任务。多模态还是很重要的。
# 第 1 步:先停掉挖矿服务(它在守着进程,必须先停它)
systemctl stop c3pool_miner.service
systemctl status c3pool_miner.service# 禁止挖矿服务开机自启
systemctl disable c3pool_miner.service
# 删除挖矿服务文件,防止被重新启用
rm -f /etc/systemd/system/c3pool_miner.service
# 让系统重新加载服务配置
systemctl daemon-reload
# 彻底终止所有挖矿相关进程
pkill -9 -f xmrig
# 确认进程是否被彻底清除
ps -ef | grep xmrig# 删除挖矿程序文件
lsattr /root/c3pool/
# 删除挖矿程序目录
rm -rf /root/c3pool/
# 确认目录已删除
ls /root/c3pool/# 检查定时任务
crontab -l
# 最好全部清理
crontab -r
# 检查 SSH 公钥后门
cat /root/.ssh/authorized_keys
# 先备份,然后清空(1panel 删除后无法面板打开终端,可恢复)
cp /root/.ssh/authorized_keys /root/authorized_keys_backup.txt
> /root/.ssh/authorized_keys
# 确认是否清空
cat /root/.ssh/authorized_keys# 修改 root 密码
passwd root
# 查看 CPU 使用率是否恢复正常
top -bn1 | head -15到这里基本就清理完成了。
1panel 面板恢复终端方案
清理病毒的时候,会把所有的公钥都清理掉,导致 1panel 面板终端无法自动验证。
# 查看 1Panel 的 SSH 公钥(通常在 1Panel 配置中)
cat /etc/1panel/ssh/authorized_keys 2>/dev/null || echo "需要重新配置"
# 或者重新生成密钥对
ssh-keygen -t rsa -b 4096 -f /root/.ssh/id_rsa -N ""
# 把公钥添加到 authorized_keys
cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys只需要把新生成的私钥告诉 1Panel 即可。
# 查看私钥
cat /root/.ssh/id_rsa你会看到一大段内容,以 <code>-----BEGIN OPENSSH PRIVATE KEY-----</code> 开头,以 <code>-----END OPENSSH PRIVATE KEY-----</code> 结尾。全部复制下来。
1panel → 终端,弹出的认证窗口,选择私钥,粘贴复制的私钥内容,勾选记住认证信息即可。
