刚刚使用ssh连接阿里云服务器,习惯性的使用“上键”使用更新命令,结果意外发现了好多条不明命令。
其中大部分是 cd 和 ls ,以及一些 cat ,还有一些 cd ../../../, 看起来像是一个人操作了 ssh,
找了找关于文件名中带 admin 和 http 的相关信息,还有 php.ini 。
还有有两条比较有代表性
MAKRER=SHOW_LOCALE;printf $MAKRER""; locale; MAKRER=SHOW_LOCALE;printf $MAKRER"";
CHECK_TYPE=SHELL; echo "INFO=${CHECK_TYPE} PID=$$ PPID=$PPID TTY=$(tty) SHELL=$0 HOME=$HOME PWD=$PWD| CHECK_SHELL_END"
网上搜搜了说是入侵了,看一下阿里云的后台内信,果然有一条安全通知,但是点击链接进去是云盾推广链接。(会不会是阿里云内部人为了推广云盾)
请问一下大佬们,这是什么目的,在什么情况下会暴露ssh密码,或者是说他怎么上去的。现在除了改ssh密码还有什么需要注意的?
使用的是xshell 7 公测版,是从官网下载的、
红米Note4超高配版(银色)
给阿里云发工单
https://cway.top
虽然也有真的被黑的,比如这个。但是他也恰好在阿里云,所以不能排除这行命令与他被黑无关,只是因为他在阿里云所以才有。
https://blog.csdn.net/hbqandjava/article/details/105841903
当然也有可能是上述所有案例都被黑了
@水木易安,那是你在阿里云控制台重启ECS时留下的命令记录。你可以试试把history里的这个记录删掉,然后再在控制台重启试试(不是强制重启)。