「现有完整更新」求高手解答，捉到一大波诡异操作

2ryan · 发表于 2017-2-22 10:55:56

本帖最后由 2ryan 于 2017-2-26 17:57 编辑

上次的情况终于copy到完整的一套诡异操作

现在更新完整版，希望有高手解答。这一连串动作是如何通过root修改控制面板的密码？

ping 8.8.8.8
invoke-rc.d apparmor kill;update-rc.d -f apparmor remove
rm -f /etc/udev/rules.d/*-net.rules
ln -s /dev/null /etc/udev/rules.d/*-net.rules
rm -f /etc/sysconfig/network-scripts/ifcfg-eth0
chkconfig NetworkManager off
chkconfig network off
echo -e "127.0.0.1 localhost\n::1 ip6-localhost ip6-loopback\nfe00::0 ip6-localnet\nff00::0 ip6-mcastprefix\nff02::1 ip6-allnodes\nff02::2 ip6-allrouters\nff02::3 ip6-allhosts" > /etc/hosts
apt-get clean
rm -rf /etc/ssh/ssh_host*
rm -rf /root/* /root/.bash_history
userdel -r deleteme
find /var/log -type f | xargs rm -f
wget -O /etc/init.d/virtpanel https://dev.virtpanel.com/scripts/startup-linux
chmod +x /etc/init.d/virtpanel
chkconfig virtpanel on
echo -e 'auto lo\niface lo inet loopback\n\nallow-hotplug eth0\niface eth0 inet static' > /etc/network/interfaces
sync
shutdown -h now

mix · 发表于 2017-2-22 10:58:41

Virtpanel似乎是一个控制面板

2ryan · 发表于 2017-2-22 11:01:42

mix 发表于 2017-2-22 10:58
Virtpanel似乎是一个控制面板

我估计没那么简单，我就发现被人输入这些操作后。主机的控制面板就不去了，密码已经不对。

jshkk · 发表于 2017-2-22 11:03:33

直接去https://dev.virtpanel.com/scripts/看看

info · 发表于 2017-2-22 11:05:23

userdel -r deleteme  //删除用户deleteme
find /var/log -type f | xargs rm -f  //查找var/log 下的文件并删除
wget -O /etc/init.d/virtpanel https://dev.virtpanel.com/scripts/startup-linuxc //下载到指定目录
chmod +x /etc/init.d/virtpanel //给这个文件添加执行权
chkconfig virtpanel onc //设置为自启
echo -e 'auto lo\niface lo inet loopback\n\nallow-hotplug eth0\niface eth0 inet static' > /etc/network/interfaces //添加参数到这个文件
sync  //同步系统设置
shutdown -h now  //立即关机

xuhao0080 · 发表于 2017-2-22 11:07:08

1.删除一个用户
2.寻找某个目录并删除
3.下载了某面板
4.给某面板软件加权限
5.设置面板开机自启
6.给网络eth0做了个操作
7.同步网络信息
8.不解释

2ryan · 发表于 2017-2-22 11:07:51

jshkk 发表于 2017-2-22 11:03
直接去https://dev.virtpanel.com/scripts/看看

这个地址貌似没看出什么异常...

xuhao0080 · 发表于 2017-2-22 11:08:11

怀疑你的Linux弱密码被破解了。

2ryan · 发表于 2017-2-22 11:10:00

xuhao0080 发表于 2017-2-22 11:07
1.删除一个用户
2.寻找某个目录并删除
3.下载了某面板

意思是被黑了？但是他可以通过主机来黑掉我控制面板的密码？不是同一个密码哦

雨宫音羽 · 发表于 2017-2-22 11:10:44

看起来是重置VPS信息的
https://dev.virtpanel.com/scripts/startup-linuxc这个打不开
如果是https://dev.virtpanel.com/scripts/startup-linux 那就是个重置VPS信息（域名解析网络设置 root密码）的脚本通过挂载软驱数据的方式实现。是VPS面板对小鸡进行管理的方式吧

比较奇怪的是为何要删日志其它似乎没有明显异常

		自动登录	找回密码
密码			注册