记一次开发板被入侵植入挖矿病毒

开发版 orange PI（RK3588），学校买来做项目用的假期才到，假期在家老师催得紧，于是跟在校的同学联系了一下，配了个tailscale（V4地址）方便远程vscode ssh调试

这玩意的默认root密码就是orangepi，我想着我过几天回学校了就不用远程了，就没配防火墙之类的。。（现在看来还是不能有任何侥幸心理）

结果昨晚熬夜调设备睡太死了，今天一醒来说板子巨烫是不是坏了，我想着不对劲啊就登上去看看，结果vscode服务器连上就断

正纳闷呢，然后终端ssh连倒是上去了，一看确实温度高的离谱，负载也高

79a31875e19003eb3e5065343121c6851295×406 16.8 KB

然后就是top看进程占用

很明显了，ssh本身不可能占用这么高的（一开始把他杀了然后很快就复活了，还伪装过systemd），然后

orangepi@orangepi5max:~$ ls -l /proc/67636/exe
lrwxrwxrwx 1 orangepi orangepi 0  2月 27 16:27 /proc/67636/exe -> /opt/linuxpg/.9BQlf1HRYF91zzcg5emPOddVe4ona

很明显了，然后为了分析是什么病毒，我将其下载到了本地，分析

image1204×393 13.3 KB

好吧其实不用分析，火绒一眼丁真了

清理过程：
1.删除病毒本体
sudo rm -f /opt/linuxpg/.9BQlf1HRYF91zzcg5emPOddVe4ona
2.清理被植入的启动任务
sudo crontab -l
ls -la /etc/cron.d/
发现入侵者写入了crontab中，所以重启后会自动启动，删除即可

其实入侵本身很低级，就是利用扫描公网暴露的ssh并挂密码库进行爆破，所以看了一下登录日志，确实如此

image1690×647 50.7 KB

狠狠长记性了，然后就是配置密匙登录，改ssh端口，安装fail2ban，改默认密码，具体的措施可以看看大佬的总结

再次提醒大家，一定要提高网络安全意识，千万不要抱有侥幸心理，不管是小打小闹还是大项目

还好我板卡没连过网，都是通过交换机ssh访问的

tailscale不是在一个虚拟局域网里吗。这样也能被访问到吗。

恐怖如斯

我也好奇tailscale不是虚拟的局域网吗，别人就算知道密码又怎么样只有登录了一个账号才可以访问吧

太吓人了

能拿开发板挖矿，也是够卷的

开发板也有人入侵（

我不道啊，我也觉得离谱，我这边是用他给的那个ip ssh直接连接的

我越想越觉得不对劲啊

tailscale给我的不能算是公网ip啊

他只是创建了个虚拟局域网让我和板子处于同一个网域而已

那他到底是怎么连进去的

真的可能是学校内网的缘故了，有内鬼或者学校内部有攻击者

因为我昨天确实连了校园网

挖矿无处不在

image2560×1347 258 KB

31.57.216.15 的公开滥用情报页（SSH brute-force 报告）

没公网也能入侵，学校里有谁被当肉鸡了吧

检查了一下
我的设备先经校园网网关 10.48.0.1 出口，再进入公网骨干。
攻击源确实是公网主机。

• 到 130.12.181.193（tracepath）：
  • 1 跳：10.48.0.1（校园网网关）
  • 2 跳：117.14.224.1（运营商侧）
  • 最终 28 跳到达 130.12.181.193
• 到 204.76.203.83（tracepath）：
  • 同样先 10.48.0.1 → 117.14.224.1
  • 最终 23 跳到达 204.76.203.83

开发板挖矿，真是不干人事

广撒网，刚好网中你了。