x86_64小主机,openwrt 24.10,4核14nm工艺的i3老CPU,8GB内存,装了无数的docker,无数的各种应用,frpc10来个端口包括22到了10来个frps上,关键是root密码只是一个字母
跑了好些年了,安全问题从来没遇到过
最近两周不行了
第一症状,两周前ps -ef发现一个貌似叫system.cfg(类似名字不一定就是这个)的进程,大小位置都很奇怪。当时就强行删除了
之后几天就开始发生疯狂操作硬盘,疯狂向美国的数据中心的IP上传数据,大约是过几秒就换一个目标IP,跑满了上行带宽(不得不说北京移动还是够给力,看了下均上传速能有80-100MBit/S,平时自己测速上传最多有个百兆小b每秒,这一点也很可疑,为啥差别这么大)。用nethogs直接卡死无反应,iftop bmon等看不出对应是哪个进程。关闭所有docker,关闭大多数frpc关闭所有网络服务,还在上传,ps -ef也看不出异样的进程。就一个基本干净的openwrt,依然疯狂上传,甚至怀疑是用eBPF灌进内核了。
有哪位有类似经验么,求指教
"root密码只是一个字母,跑了好些年了,安全问题从来没遇到过"
也许你这鸡早就是公交车了。然后D哥最近要D DMIT了。派你的鸡出场了。。宽带拉满。你才发现。。
你这情况八成不是卡了而是被人进来当肉鸡了,root 密码一个字母再加上 22 还通过 frp 放到公网,现在这种基本都会被自动扫到然后爆破进去,出现过那种奇怪进程、停了 docker 和服务还照样疯狂往外传、目标 IP 一直换这些都很像已经拿到权限还做了隐藏和持久化了,处理别纠结抓哪个进程先把 WAN 拔了止血,然后抓一下 br-lan 看看到底是路由器自己在发还是内网某台机器在发,确认是路由器的话最省心也最靠谱就是直接重装官方镜像清掉 overlay 只手工恢复你看得懂的配置,装完第一件事把 SSH 改成只允许密钥登录禁用密码、别再用 frp 直通 22 了要远程就上 WireGuard/Tailscale 先进内网,再把 frp 的认证 token 换成强的,这样基本就不会再复发了
说不定这次DD大妈的就有你的一份力,哈哈哈哈
重装呗
莫慌,重装
我的openwrt密码也是一个字母
但我不用openwrt跑任何docker
细品
并非没有遇到,早成肉鸡了,反正偶尔拿你的软路由打一下DD CC你也没感觉,隐藏进程有专业的工具看,我的建议是直接重装
一个字母的root密码还穿透是为了打ddcc有借口说不是我干的吗
linux隐藏进程,你命令里面看不到
人间清醒,我的VPS在没有开fail2ban之前,每天会有上万次被扫描。单字母密码根本连一天都撑不过。
建议重装