感染原因
可能 steam 用户用的密码在其他地方暴露了,所以直接就进来了。但是说实话不太记得细节了。
May 12 07:31:43 milk sshd[964312]: Accepted password for steam from 51.222.13.163 port 44330 ssh2
May 12 07:31:43 milk sshd[964312]: pam_unix(sshd:session): session opened for user steam(uid=1003) by (uid=0)
清理内容
移除保活 cron 条目。
$ crontab -e
5 6 */2 * 0 ~/.configrc7/a/upd>/dev/null 2>&1
@reboot ~/.configrc7/a/upd>/dev/null 2>&1
5 8 * * 0 ~/.configrc7/b/sync>/dev/null 2>&1
@reboot ~/.configrc7/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X26-unix/.rsync/c/aptitude>/dev/null 2>&1
删除攻击者加入的 SSH key。
$ vim ~/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr
移除木马主文件。
rm -rf ~/.configrc7