全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码
查看: 1903|回复: 55

[经验] virmach 的 Debian 10 有一个危险的预设用户 debianuser

[复制链接]
发表于 2021-2-4 12:34:33 | 显示全部楼层 |阅读模式
本帖最后由 whiler 于 2021-2-4 15:28 编辑

Solus VM 提供的 Debian 10 模板包含一个名为 “debianuser” 的用户。安装完成后,该用户仍然存在,其他人可以利用这个用户访问你的 VPS 。

virmach 中枪了,但是至今没有收到 virmach 的警示邮件或者发布公告。在 virmach 后台重装之后,debianuser 依然存在,virmach 到目前为止(2月4日15点)还没有修复这个问题。

  1. grep debianuser /etc/shadow
  2. debianuser:$6$iywrJAKpLAgGntKq$n074dfRpLlcpKVYNOl0cLjbW5LnYh8AS/szYtR2GhrzvibWPrFdqmflyOjpWaBC4YnCvpqEgV3NZ2VPzqeNuM.:18190:0:99999:7:::
复制代码


MJJ 们不要慌,登陆进去删除这个用户就可以了,或者直接重装系统之后再删除 debianuser 。

删除 debianuser 的命令:
  1. sudo userdel debianuser
复制代码


如果删除命令提示用户不存在,不用心存侥幸,你的 VPS 已经被入侵了,不怀好意的人删除了这个用户,顺便留下其他后门,建议立即重装系统再删除 debianuser 。



来源:https://lowendbox.com/blog/vulnerability-in-debian-10-solusvm-templates-you-need-to-take-action/
发表于 2021-2-4 14:28:20 | 显示全部楼层
应该是solusvm的全躺枪了,基本很多主机商都在用,昨天有MJJ发现2月3日的系统模板已经修正这个问题了
发表于 2021-2-4 12:49:07 | 显示全部楼层
有没有大佬说说咋利用?有这个用户还得知道端口吗
 楼主| 发表于 2021-2-4 12:46:19 | 显示全部楼层
bitman 发表于 2021-2-4 12:40
vir的几个鸡用debian10的模版,都是user debianuser does not exist,所以vir自己修复了? ...

virmach 会否认三连的,未经用户同意擅自访问用 VPS 数据甚至删除了一个 VPS 内的账户。
大概率是 virmach 没有任何操作,你可能特别幸运。
 楼主| 发表于 2021-2-4 14:45:45 | 显示全部楼层
dragonfsky 发表于 2021-2-4 14:30
设置了只用秘钥登录 这个还需要担心吗

不用担心
  1. PasswordAuthentication no
复制代码

发表于 2021-2-4 12:46:52 | 显示全部楼层
  1. cat /etc/group

  2. userdel debianuser
复制代码
发表于 2021-2-4 12:44:26 | 显示全部楼层


刚又看了一下,没这个用户啊。
楼主知道这个用户的密码是什么么
发表于 2021-2-4 12:40:42 | 显示全部楼层
vir的几个鸡用debian10的模版,都是user debianuser does not exist,所以vir自己修复了?
发表于 2021-2-4 12:38:59 | 显示全部楼层
3.6刀款已中枪,刚才重装了
 楼主| 发表于 2021-2-4 12:41:57 | 显示全部楼层
Nothing1024 发表于 2021-2-4 12:38
3.6刀款已中枪,刚才重装了

备份数据很麻烦的,不用重装就可以解决问题
发表于 2021-2-4 12:43:33 | 显示全部楼层
黑五五刀机已删除,感谢
发表于 2021-2-4 12:44:45 | 显示全部楼层
whiler 发表于 2021-2-4 12:41
备份数据很麻烦的,不用重装就可以解决问题

我是挂网页监控的,发现有登陆日志
数据不多,直接重装了
发表于 2021-2-4 12:47:41 来自手机 | 显示全部楼层
上来就删了,不习惯家里除了root还有别人
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2021-4-23 19:22 , Processed in 0.068855 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表