search

shadowsocks / shadowsocks-go

go port of shadowsocks (Deprecated)
http://shadowsocks.github.io/shadowsocks-go
Apache License 2.0
6.61k stars 3.32k forks source link

疑似后门 #255

Closed darcyg closed 6 years ago

darcyg commented 6 years ago

我在自己的云服务器上(自己架的openstack),在一台虚拟机上安装了shadsocks-local的1.1.5官方二进制版本(linux64) 虚拟服务器 操作系统 ubuntu 14.04/16.04 lts

最近发现异常,SS客户端异常,不能工作。 第一次上去发现 我的帐号被替换修改 在/opt目录下 增加.cpu等目录,执行一个minergate-cli的服务,似乎是跑比特币挖矿 之后我关闭服务器,换IP换虚拟机后6天 又出现了。

我其他虚拟机都未发现同样问题。严重怀疑网站下载的shadowsocks的local被绑定后门

攻击者几个特点 1 修改/etc/rc.local 安装wget, curl kill掉原始initd进程 一个修改版进程initd在/usr/local/sbin下 加载配置在/etc/rmvb目录里 2 /opt下有.cpu目录 有下载源码编译 minergate-cli 3 有执行 ps aux 可以找到如nohup .cpu stratum+tcp://nsa.kernel%40gmail.com@xmr.pool.minergate.com:45560/xmr 程序 ps 如果服务器重启后,会在initd中,ps aux就找不出来上述字串 4 /root目录里有东西

注意 nsa.kernel@gmail.com 这个帐号。google上找不到任何信息

分析:用户未知原因直接获得root权限。仅在装有ss的linux上出现 因为除了跑ss-local。其他程序都没安装。认为90%以上的可能性是 提供的ss-local有问题。考虑到nsa.kernel这个关键词的含义 我怀疑是不是服务器缓存的二进制程序已经给加上后门了。 我ss-local的md5sum cec19337dc4ae54669d4f4a62811738e

希望编译 1.2.1 的local版本,测试使用,公布md5。

lixin9311 commented 6 years ago

和shadowsocks没什么关系。 检查是否使用了弱密码被人爆破吧。

lixin9311 commented 6 years ago

MD5 (shadowsocks-local-linux64-1.1.5) = cec19337dc4ae54669d4f4a62811738e

darcyg commented 6 years ago

我的虚拟机服务器根本没入公网。 我检查了其他机器,没发现入侵 虚拟机镜像我自己做的,用了统一密码 (一个用户一个密码) 但其他机器都没入侵。 主要是这个帐号nsa.kernal的帐号。 我的虚拟机里面就装了ss一个外来软件 第一次出问题之后,我就关闭其他机器 重新启用镜像,重做了一个(之前ubuntu14.04,之后换16.04) 并换了一个IP 然后6天之后,又被入侵了(我每天都检查一下服务器)

而且很奇怪默认root是没密码的,入侵之后root会增加密码 也就是说 如果我的通用密码被破解(强密码),至少同网段8台服务器都会被破解 同样如果是系统漏洞,为啥主要后门装SS的机器,其他机器不装 第二,他自己有高权帐号的话,应该偷加帐号, 然后把用户权限设高加入sudo,没必要一定要开root账户。 ubuntu默认就不推荐开root的帐号的,很容易被发现问题 第三,我觉得是root执行的应用被加壳了。这样很容易获得 root的权限,直接执行passwd命令。 如果是其他帐号,一般首先就是获得root执行权限的问题。因为 唯一的登录帐号是通用的,也就是说我换主机之后,其他服务器 会被入侵。但奇怪,对方就是追着SS这台主机入侵。而且我切换 了内网IP,也就是说对方如果在我内网其他主机有跳板,也是需 要扫描嗅探很多主机,一个个挨个试,凭啥就咬着ss入侵呢。

所以我担心是不是被捆绑木马了。

国内用ss的,搞不好有保密单位的技术员。玩linux的基本都是开 发的,一种是互联网开发,一种是嵌入式开发...

大家留心一下。NSA可能在windows里面加后门证书,强令苹果给 其开后门解锁的机构

lixin9311 commented 6 years ago

Don't ask stupid question.

On Nov 23, 2017 10:47, "Darcy Gong" notifications@github.com wrote:

我的虚拟机服务器根本没入公网。 我检查了其他机器,没发现入侵 虚拟机镜像我自己做的,用了统一密码 (一个用户一个密码) 但其他机器都没入侵。 主要是这个帐号nsa.kernal的帐号。 我的虚拟机里面就装了ss一个外来软件 第一次出问题之后,我就关闭其他机器 重新启用镜像,重做了一个(之前ubuntu14.04,之后换16.04) 并换了一个IP 然后6天之后,又被入侵了(我每天都检查一下服务器)

而且很奇怪默认root是没密码的,入侵之后root会增加密码 也就是说 如果我的通用密码被破解(强密码),至少同网段8台服务器都会被破解 同样如果是系统漏洞,为啥主要后门装SS的机器,其他机器不装 第二,他自己有高权帐号的话,应该偷加帐号, 然后把用户权限设高加入sudo,没必要一定要开root账户。 ubuntu默认就不推荐开root的帐号的,很容易被发现问题 第三,我觉得是root执行的应用被加壳了。这样很容易获得 root的权限,直接执行passwd命令。 如果是其他帐号,一般首先就是获得root执行权限的问题。因为 唯一的登录帐号是通用的,也就是说我换主机之后,其他服务器 会被入侵。但奇怪,对方就是追着SS这台主机入侵。而且我切换 了内网IP,也就是说对方如果在我内网其他主机有跳板,也是需 要扫描嗅探很多主机,一个个挨个试,凭啥就咬着ss入侵呢。

所以我担心是不是被捆绑木马了。

国内用ss的,搞不好有保密单位的技术员。玩linux的基本都是开 发的,一种是互联网开发,一种是嵌入式开发...

大家留心一下。NSA可能在windows里面加后门证书,强令苹果给 其开后门解锁的机构

— You are receiving this because you modified the open/close state. Reply to this email directly, view it on GitHub https://github.com/shadowsocks/shadowsocks-go/issues/255#issuecomment-346526694, or mute the thread https://github.com/notifications/unsubscribe-auth/AAWrE6P2w0MZUhQP09epb42ZsNdC7gNsks5s5Oq7gaJpZM4Qm2O6 .

arthurkiller commented 6 years ago

@darcyg only one thing shadowsocks do is forwarding your request. nothing else it can do.

And there is no evidence that shadowsocks protocol can be used to do anything else, thats incredible.