duzhuo's-blog

起因

前几天突然发现一台服务器掉线了…打开后台一看一整页全部都是Abuse Report，服务器也被suspend。在面板发现服务器被冻结前处于很长一段时间的满负载状态，Ticket内容显示这个ip被举报有扫描行为。

通过提交工单请求解冻之后登录，过一段时间发现tor这个用户被盗用并且启动了一个叫blitz64的服务。

后面通过删除被修改的crontab条目并重启修复，但是因为我忘了修改密码又被冻结了。^_^

修复过程因为比较匆忙没有记录，这里附上参考资料。

My VPS is under attack

Hacked Server

记一次ubuntu虚拟机被挖矿木马攻击的过程

准备

• 运营商的电视盒子一只 以晶晨芯片的CM311-1为例 查看目前可用的设备列表

• 双公头usb线 没有现成的可以用两根不要的线剥开对接四芯自己制作

• 一个闲置的空u盘

• （可选)晶晨盒子短接神器 没有的话其实用镊子短接也可以

  

• 晶晨烧录工具Amlogic_USB_Burning_Tool

• 选择合适的安卓底包用来开启adb 部分底包分流

• adb工具 xda的安装教程参考 或者使用开心电视助手替代 链接

• balena etcher 或者 rufus 用来写入Armbian镜像到u盘

刷入底包

打开晶晨刷机工具，设置→导入镜像。

点击开始后准备接入线。

关闭电源！！！ 插入刷机神器，双公线一头插入盒子靠近网口的那个usb口，另一头接入电脑usb口（2.0的可能好一点）。先在烧录工具上点开始，接入线，然后打开盒子上的电源开关等待烧录工具的提示即可。

刷入Armbian镜像到U盘

当前环境

Step1 从仓库下载二进制文件并解压

1
2
3
4
5
6

cd /usr/bin
## 没有curl可以使用opkg安装或者用wget替代
curl -O https://github.com/AdguardTeam/AdGuardHome/releases/download/v0.107.42/AdGuardHome_linux_arm64.tar.gz
tar -zxvf ./AdGuardHome_linux_arm64.tar.gz
rm -rf ./AdGuardHome_linux_arm64.tar.gz
cd ./AdGuardHome

Step2 启动AdGuardHome并进入后台

1

./AdGuardHome

出现类似下面的提示就代表AdGuardHome已经启动

这样大概就是成功了，现在我们的AdGuardHome还不能开机运行，需要配置守护进程。

Step3 配置开机启动

如题

当前环境

• Linux armbian 5.15.139-ophub #1 SMP PREEMPT Mon Nov 20 22:33:18 EST 2023 aarch64 aarch64 aarch64 GNU/Linux
• 使用的软件源 Ubuntu Ports 23.04 luner

问题详情

1
2
3
4
5
6
7
8

root@armbian:/etc/wireguard# sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.0.8.9/24 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a wg0 -m 0 -x
/usr/bin/wg-quick: line 32: resolvconf: command not found
[#] ip link delete dev wg0

解决步骤

问题是由无法调用 resolvconf命令产生的 我们通过直接安装来解决 不同发行版的软件包可能不同

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

root@armbian:/etc/wireguard# sudo apt install openresolv
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Package openresolv is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'openresolv' has no installation candidate
root@armbian:/etc/wireguard# resolvconf
Command 'resolvconf' not found, but can be installed with:
apt install systemd-resolved
root@armbian:/etc/wireguard# apt install systemd-resolved

...succeed

root@armbian:/etc/wireguard# systemctl start wg-quick@wg0

目前访问方法

• http://singlelogin.re/
• http://zlibrary-global.se/
• http://zh.loginzlib2vrak5zzpcocc3ouizykn6k5qecgj2tzlnab5wcbqhembyd.onion/ 登录后跳转
• [email protected] 发送邮件自动返回访问地址 (测试被Gmail标记为垃圾邮件)

问题复现

使用 hostnamectl hostname 命令更改 hostname 之后使用 sudo 后出现报错 sudo: unable to resolve host cloudcone: Name or service not known

解决方案

修改 /etc/hosts 文件 添加 127.0.0.1 cloudcone ::1 cloudcone cloudcone 是我设置的新 hostname

1
2
3
4
5
6
7
8

27.0.0.1       localhost
127.0.0.1       cloudcone

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
::1     cloudcone
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

问题发现

使用 tabby 官方提供的 Debian repo 时 发现识别系统为 Kylin 导致无法使用脚本添加 repo

查看脚本信息发现检测的文件为 /etc/lsb-release

解决办法

一番检索后找到了这个帖子 https://v2ex.com/t/906470 发现应该是优麒麟版微信在 /etc 里面拉屎 张小龙你吗死了

添加 repo 的脚本内容先检测是否存在 /etc/lsb-release 再查看二进制文件 lsb_release 所以识别到的系统是 Kylin

查看原版 Debian 使用的的是 lsb_release 所以我们可以直接删除 /etc/lsb-release 这个文件 或者手动修改 /etc/lsb-release

1
2
3
4

DISTRIB_ID=Debian
DISTRIB_RELEASE=n/a
DISTRIB_CODENAME=trixie
DISTRIB_DESCRIPTION="Debian GNU/Linux trixie/sid"

查看当前无线网卡并启用

sudo iwconfig 查看得到我当前的无线网卡名称是 wlan0

sudo ifconfig wlan0 up 启用无线网卡

扫描可用网络

sudo iwlist wlan0 scan 查找当前可用网络 结果过多的情况下使用 grep 找出 SSID

使用 wpa_supplicant 连接网络

sudo wpa_passphrase {SSID} {PASSWD} > sudo /etc/wpa_supplicant/{SSID}.conf