全球主机交流论坛

标题: 「现有完整更新」求高手解答,捉到一大波诡异操作 [打印本页]
作者: 2ryan    时间: 2017-2-22 10:55
标题: 「现有完整更新」求高手解答,捉到一大波诡异操作
本帖最后由 2ryan 于 2017-2-26 17:57 编辑

上次的情况终于copy到完整的一套诡异操作

现在更新完整版,希望有高手解答。这一连串动作是如何通过root修改控制面板的密码?


ping 8.8.8.8
invoke-rc.d apparmor kill;update-rc.d -f apparmor remove
rm -f /etc/udev/rules.d/*-net.rules
ln -s /dev/null /etc/udev/rules.d/*-net.rules
rm -f /etc/sysconfig/network-scripts/ifcfg-eth0
chkconfig NetworkManager off
chkconfig network off
echo -e "127.0.0.1 localhost\n::1 ip6-localhost ip6-loopback\nfe00::0 ip6-localnet\nff00::0 ip6-mcastprefix\nff02::1 ip6-allnodes\nff02::2 ip6-allrouters\nff02::3 ip6-allhosts" > /etc/hosts
apt-get clean
rm -rf /etc/ssh/ssh_host*
rm -rf /root/* /root/.bash_history
userdel -r deleteme
find /var/log -type f | xargs rm -f
wget -O /etc/init.d/virtpanel https://dev.virtpanel.com/scripts/startup-linux
chmod +x /etc/init.d/virtpanel
chkconfig virtpanel on
echo -e 'auto lo\niface lo inet loopback\n\nallow-hotplug eth0\niface eth0 inet static' > /etc/network/interfaces
sync
shutdown -h now
作者: mix    时间: 2017-2-22 10:58
Virtpanel似乎是一个控制面板
作者: 2ryan    时间: 2017-2-22 11:01
mix 发表于 2017-2-22 10:58
Virtpanel似乎是一个控制面板

我估计没那么简单,我就发现被人输入这些操作后。主机的控制面板就不去了,密码已经不对。
作者: jshkk    时间: 2017-2-22 11:03
直接去https://dev.virtpanel.com/scripts/看看
作者: info    时间: 2017-2-22 11:05
userdel -r deleteme  //删除用户deleteme
find /var/log -type f | xargs rm -f  //查找var/log 下的文件并删除
wget -O /etc/init.d/virtpanel https://dev.virtpanel.com/scripts/startup-linuxc //下载到指定目录
chmod +x /etc/init.d/virtpanel //给这个文件添加执行权
chkconfig virtpanel onc   //设置为自启
echo -e 'auto lo\niface lo inet loopback\n\nallow-hotplug eth0\niface eth0 inet static' > /etc/network/interfaces //添加参数到这个文件
sync  //同步系统设置
shutdown -h now  //立即关机
作者: xuhao0080    时间: 2017-2-22 11:07
1.删除一个用户
2.寻找某个目录并删除
3.下载了某面板
4.给某面板软件加权限
5.设置面板开机自启
6.给网络eth0做了个操作
7.同步网络信息
8.不解释
作者: 2ryan    时间: 2017-2-22 11:07
jshkk 发表于 2017-2-22 11:03
直接去https://dev.virtpanel.com/scripts/看看

这个地址貌似没看出什么异常...
作者: xuhao0080    时间: 2017-2-22 11:08
怀疑你的Linux弱密码被破解了。
作者: 2ryan    时间: 2017-2-22 11:10
xuhao0080 发表于 2017-2-22 11:07
1.删除一个用户
2.寻找某个目录并删除
3.下载了某面板

意思是被黑了?但是他可以通过主机来黑掉我控制面板的密码?不是同一个密码哦
作者: 雨宫音羽    时间: 2017-2-22 11:10
看起来是重置VPS信息的
https://dev.virtpanel.com/scripts/startup-linuxc这个打不开
如果是https://dev.virtpanel.com/scripts/startup-linux 那就是个重置VPS信息(域名解析 网络设置 root密码)的脚本 通过挂载软驱数据的方式实现。是VPS面板对小鸡进行管理的方式吧

比较奇怪的是为何要删日志 其它似乎没有明显异常
作者: yorkchou    时间: 2017-2-22 11:10
virtpanel真的非常烂。。
前两天入的contraweb就是这个面板,他家说这个月末全部换面板,我就一直放在那里没动
作者: 2ryan    时间: 2017-2-22 11:11
xuhao0080 发表于 2017-2-22 11:08
怀疑你的Linux弱密码被破解了。

但是他没有改我主机的密码,反而控制面的密码改了....
作者: xuhao0080    时间: 2017-2-22 11:12
2ryan 发表于 2017-2-22 11:10
意思是被黑了?但是他可以通过主机来黑掉我控制面板的密码?不是同一个密码哦 ...

你是U被爆了然后控制面板密码被重置了
作者: 2ryan    时间: 2017-2-22 11:13
yorkchou 发表于 2017-2-22 11:10
virtpanel真的非常烂。。
前两天入的contraweb就是这个面板,他家说这个月末全部换面板,我就一直放在那里 ...

我就是contraweb!前几天被改了控制面板密码,发tk帮我重置,现在又被改了。都不知道是黑了还是主机商X了。
作者: 2ryan    时间: 2017-2-22 11:14
xuhao0080 发表于 2017-2-22 11:12
你是U被爆了然后控制面板密码被重置了

还可以通过vps主机的ssh来重置控制面板的密码?
作者: yorkchou    时间: 2017-2-22 11:14
2ryan 发表于 2017-2-22 11:13
我就是contraweb!前几天被改了控制面板密码,发tk帮我重置,现在又被改了。都不知道是黑了还是主机商X了 ...

你要不直接让他给你换到新的母鸡上去吧,新的母鸡好像是solusvm的了
我的正在吃灰中
作者: xuhao0080    时间: 2017-2-22 11:15
你可能需要继续发TK,然后加强root密码,或者root别开放,设置其他账户,sudo好像可以其他密码?
作者: 2ryan    时间: 2017-2-22 11:17
yorkchou 发表于 2017-2-22 11:14
你要不直接让他给你换到新的母鸡上去吧,新的母鸡好像是solusvm的了
我的正在吃灰中 ...

他控制面板那个“Forgot your password”完全就是个摆设,根本不会发重置邮件。我刚发了tk,还没有回复
作者: 2ryan    时间: 2017-2-22 11:44
xuhao0080 发表于 2017-2-22 11:15
你可能需要继续发TK,然后加强root密码,或者root别开放,设置其他账户,sudo好像可以其他密码? ...

我还是不解为什么他能够通过ssh改控制面板的密码。
作者: 2ryan    时间: 2017-2-22 11:46
雨宫音羽 发表于 2017-2-22 11:10
看起来是重置VPS信息的
https://dev.virtpanel.com/scripts/startup-linuxc这个打不开
如果是https://dev.v ...

控制面板的密码被改了,难道主机可以反改面板的密码?
作者: xuhao0080    时间: 2017-2-22 11:47
2ryan 发表于 2017-2-22 11:44
我还是不解为什么他能够通过ssh改控制面板的密码。

应该改不了吧。。?可能是你面板密码被黑了。。
作者: 2ryan    时间: 2017-2-22 11:49
xuhao0080 发表于 2017-2-22 11:47
应该改不了吧。。?可能是你面板密码被黑了。。

这么容易被黑,看来主机商有很大的责任...我开的其他主机都没事。就这个中招
作者: xuhao0080    时间: 2017-2-22 11:50
2ryan 发表于 2017-2-22 11:49
这么容易被黑,看来主机商有很大的责任...我开的其他主机都没事。就这个中招 ...

难道被爆库了?不好说= =
作者: 2ryan    时间: 2017-2-22 11:52
xuhao0080 发表于 2017-2-22 11:50
难道被爆库了?不好说= =

改密码改到词穷了
作者: xuhao0080    时间: 2017-2-22 11:54
2ryan 发表于 2017-2-22 11:52
改密码改到词穷了

"wqjl>PQW<OAJ>';ueiuoq2lJ>:E<a"这种密码不信能爆出来,或者注意你的用户邮箱哦
作者: 2ryan    时间: 2017-2-22 11:55
xuhao0080 发表于 2017-2-22 11:54
"wqjl>QW';ueiuoq2lJ>:E

这种密码我改得了记不了
作者: 园丁    时间: 2017-2-22 12:13
单看这些命令,这些操作没什么意义,除非母鸡被黑,这样还能修改你的root密码
作者: ccnif    时间: 2017-2-22 12:22
可能很多操作都是在deleteme 这个用户下操作的
作者: 2ryan    时间: 2017-2-22 12:44
园丁 发表于 2017-2-22 12:13
单看这些命令,这些操作没什么意义,除非母鸡被黑,这样还能修改你的root密码 ...

root密码没改,还能登录。反而是控制面板的密码改了,所以现在想重装都不行...
作者: 2ryan    时间: 2017-2-22 12:47
ccnif 发表于 2017-2-22 12:22
可能很多操作都是在deleteme 这个用户下操作的

deleteme这个应该是一个指令吧
作者: 园丁    时间: 2017-2-22 12:59
2ryan 发表于 2017-2-22 12:44
root密码没改,还能登录。反而是控制面板的密码改了,所以现在想重装都不行... ...

面板的控制权应该母鸡上,小鸡应该没那能力操作的,建议你发工单问问
作者: 2ryan    时间: 2017-2-22 13:13
yorkchou 发表于 2017-2-22 11:10
virtpanel真的非常烂。。
前两天入的contraweb就是这个面板,他家说这个月末全部换面板,我就一直放在那里 ...

你的主机现在能登入控制面板吗?
作者: 2ryan    时间: 2017-2-22 13:14
园丁 发表于 2017-2-22 12:59
面板的控制权应该母鸡上,小鸡应该没那能力操作的,建议你发工单问问

已经发了,不过可能有时差。晚些再看看
作者: yorkchou    时间: 2017-2-22 14:04
2ryan 发表于 2017-2-22 13:13
你的主机现在能登入控制面板吗?

也不行了,不过小鸡还在线
作者: jinxin1967    时间: 2017-2-22 14:17
  1. #! /bin/bash
  2. #
  3. # virtpanel
  4. #
  5. # chkconfig: 2345 10 90
  6. # description: Configures VPS networking, resolvers, hostname and root password.
  7. #
  8. ### BEGIN INIT INFO
  9. # Provides: virtpanel
  10. # Short-Description: Configures VPS networking, resolvers, hostname and root password.
  11. # Description: Configures VPS networking, resolvers, hostname and root password.
  12. # Should-Start: $network
  13. # Required-Start:
  14. # Required-Stop:
  15. # Default-Start: 2 3 4 5
  16. # Default-Stop: 0 1 6
  17. ### END INIT INFO

  19. if [ "$1" != "start" ];then
  20.         exit;
  21. fi

  23. mkdir -p /mnt/floppy
  24. modprobe floppy &> /dev/null
  25. umount /mnt/floppy &> /dev/null
  26. mount -t vfat /dev/fd0 /mnt/floppy

  28. # IPv4 Addresses
  29. ip link set dev eth0 up
  30. i=0;
  31. cat /mnt/floppy/ips.txt | while read ip; do
  32.    i=$((i+1))
  33.    if [[ "$i" == "1" ]]; then
  34.       echo Main IP: $ip
  35.       ip addr add $ip dev eth0
  36.       gateway=`cat /mnt/floppy/gateway.txt`
  37.       ip route add $gateway dev eth0
  38.       ip route add default via $gateway dev eth0
  39.    else
  40.       echo Additional IP: $ip
  41.       #ifconfig eth0:$((i-2)) $ip
  42.       #route add -host $ip dev eth0:$((i-2))
  43.           ip addr add $ip dev eth0
  44.    fi
  45. done

  47. # IPv6 Addresses
  48. ipv6=`cat /mnt/floppy/ipv6.txt`
  49. ipv6cidr=`cat /mnt/floppy/ipv6_cidr.txt`
  50. ipv6gw=`cat /mnt/floppy/ipv6_gateway.txt`
  51. if [[ "$ipv6" != "" ]]; then
  52.     echo IPv6: ${ipv6}/${ipv6cidr} Gateway: ${ipv6gw}
  53.     ip -6 addr add ${ipv6}/${ipv6cidr} dev eth0
  54.     ip -6 route add ${ipv6gw} dev eth0
  55.     ip -6 route add default via ${ipv6gw} dev eth0
  56. fi

  58. # Name Servers
  59. echo -n "" > /etc/resolv.conf
  60. cat /mnt/floppy/dns.txt | while read dns; do
  61.    echo "nameserver $dns" >> /etc/resolv.conf
  62. done

  64. # Hostname
  65. hostname=`cat /mnt/floppy/hostname.txt`
  66. hostname $hostname
  67. echo "$hostname" > /etc/hostname

  69. # Root password
  70. if [ -f "/mnt/floppy/password.txt" ]; then
  71.    echo "root:`cat /mnt/floppy/password.txt`" | chpasswd
  72.    rm -f /mnt/floppy/password.txt
  73. fi

  75. # Create SSH keys if required
  76. if [ ! -f "/etc/ssh/ssh_host_rsa_key" ]; then
  77.     cat /etc/os-release 2> /dev/null | grep -E "(Debian|Ubuntu)" >/dev/null 2>&1 && dpkg-reconfigure openssh-server
  78. fi

  80. # Prevent the display from blanking
  81. setterm -blank 0
  82. setterm -powersave off

  84. umount /mnt/floppy
复制代码
作者: 2ryan    时间: 2017-2-22 16:06
yorkchou 发表于 2017-2-22 14:04
也不行了,不过小鸡还在线

你也是密码错误?
作者: yorkchou    时间: 2017-2-22 16:15
2ryan 发表于 2017-2-22 16:06
你也是密码错误?

恩,发了TK问了,等回复,我感觉应该是商家操作了什么
VPS是在线的,uptime 2天多了
作者: 2ryan    时间: 2017-2-22 16:21
yorkchou 发表于 2017-2-22 16:15
恩,发了TK问了,等回复,我感觉应该是商家操作了什么
VPS是在线的,uptime 2天多了 ...

我昨天能登录的时候,看到后台显示2T用量,是限额的一半。可是我根本就没有用过这么多,很可疑
作者: 2ryan    时间: 2017-2-22 16:35
jinxin1967 发表于 2017-2-22 14:17

这是virtpanel的内容...
作者: 2ryan    时间: 2017-2-22 19:43
yorkchou 发表于 2017-2-22 16:15
恩,发了TK问了,等回复,我感觉应该是商家操作了什么
VPS是在线的,uptime 2天多了 ...

刚才收到商家的回复
This control panel has some buggs, thats why we are moving away the 28th to SolusVM, then thsi will be fixed. Please use the following password
看来是面板问题导致密码外泄
作者: 2ryan    时间: 2017-2-26 18:01
yorkchou 发表于 2017-2-22 16:15
恩,发了TK问了,等回复,我感觉应该是商家操作了什么
VPS是在线的,uptime 2天多了 ...

我现在捉到全部操作,之前商家怎么回复你?
作者: yorkchou    时间: 2017-2-26 18:19
2ryan 发表于 2017-2-26 18:01
我现在捉到全部操作,之前商家怎么回复你?

给我重置了管理面板的密码,然后跟我说28号会迁移到solusVM
作者: 2ryan    时间: 2017-2-26 18:24
yorkchou 发表于 2017-2-26 18:19
给我重置了管理面板的密码,然后跟我说28号会迁移到solusVM

他那天也是帮我重置了,后来我关闭了root,果然没事。刚才重装了下系统,现在密码又不对了。如果我没猜错他是通过root来改密码的。你root有没有关闭?
作者: yorkchou    时间: 2017-2-26 18:26
2ryan 发表于 2017-2-26 18:24
他那天也是帮我重置了,后来我关闭了root,果然没事。刚才重装了下系统,现在密码又不对了。如果我没猜错 ...

没有。。这台小鸡我一直在吃灰,所以就没去管了。。
作者: 2ryan    时间: 2017-2-26 18:28
yorkchou 发表于 2017-2-26 18:26
没有。。这台小鸡我一直在吃灰,所以就没去管了。。

我也是醉了,不知道是bug还是什么原因,这操作太诡异。用过很多主机商,第一次遇到这种情况
作者: 2ryan    时间: 2017-3-1 09:43
yorkchou 发表于 2017-2-26 18:19
给我重置了管理面板的密码,然后跟我说28号会迁移到solusVM

那边貌似没有动静~还是virtpanel面板



欢迎光临 全球主机交流论坛 (https://loc.516000.xyz/) Powered by Discuz! X3.4