背景
去年用公司淘汰的一台旧笔记本搭建了一个简单的NAS系统(基于TrueNAS),并开通了公网IP,以便使用一些docker应用
排查过程
当天回家时发现笔记本运行声音异常,于是赶紧连上SSH查用top
看了下CPU运行情况
当时很奇怪,怎么会出来一个python程序给cpu干到了200%,于是用平时开发中查看java服务的命令查看了下当前运行python的程序
ps -ef | grep python
结果就发现了一个可疑的python进程,并在显示的信息发现了个外链IP139.99.123.196
。当时没多想就赶紧给kill掉了进程。然后在浏览器地址输入了那个外链IP
Mining Pool Online,果然是个矿池。
在停掉相关进程之后赶紧在linux服务器上排查清理脚本啦
为什么会被植入挖矿脚本
他们是如何登入我的服务并植入挖矿脚本的呢,现在想想有以下几点可能
1. 对外暴漏ssh端口过于简单(我的是默认的22)
2. 用户弱口令
图一可见我的用户名是sl,这是在TrueNAS中配置的一个临时非root用户,由于当时没考虑那么多哦,密码也设置的sl,雀实太简单了,大概率就是这个入口了
3.安装的应用(中间件)的漏洞,redis、Jenkins等漏洞,甚至前段时间的Log4j
TrueNAS本身或者其夹带的服务、web协议可能也会存在漏洞。
总结
公网有风险,开通需谨慎。不要使用弱口令。
最后贴个我的小NAS图,有时间会写一篇关于NAS的文章(伪需求?)。