公司内网服务器被入侵了，我们没有公网 IP，不过有开了个 frp 穿透

下午发现服务器风扇一直转，然后 top 看了下，发现一个叫'systemdd-dev'的程序把 cpu 跑满了。一开始以为是 systemd 相关的进程，查了下 google 发现没有结果，然后意识到估计是挖矿程序之类的东西。看了下 crontab 果然多了个不认识的任务。然后查各种日志，发现都被删了，不确定对方是怎么进来的。我们服务器没有公网 IP ，只开了 frp 穿透，不确定是不是 frp 的漏洞导致的。而且看了用于穿透的云主机也没看到什么特别的日志，就比较蛋疼。唯一发现的东西就是恶意程序的 FD 连接了一个文件名'CVE-2021-4034'。现在不确定对方到底怎么入侵的，只能先把 frp 关了。想问问大家有没有什么排查思路。

> 和 #8 完全一样的情况。'公司内部的 linux：linux 和 frp 都设置的较复杂的密码，除此之外都是 docker 没有入侵的可能性。 '

所以才很费解 ----------------------- 以下是精选回复-----------------------

答:这种一般都需要重装系统了
答:frp 穿透，然后把密码设置弱密码了吧
答:首先你是什么业务穿透的？如果只是 web ，影响不会这么严重吧
答:根据 frp 、穿透的服务, 查查对应版本有没有漏洞允许别人建立 shell 的
CVE-2021-4034 这个查了下是个提权漏洞, 先把这个堵上, 没有提权的 shell 应该就没那么大伤害了
答:是用 frp 直接把端口映射到公网去了？
答:看看鉴权 log 有没有惊喜
答:很好奇，frp 设置密码登录验证嘛？

frp 这种基于 ssh 协议的，我都是第一时间禁止密码登录，只允许密钥的。
答:碰到相同的情况了，公司内部的 linux：linux 和 frp 都设置的较复杂的密码，除此之外都是 docker 没有入侵的可能性，结果还是被跑了木马。

我自己用的 0.39.0 ，官网下载的，放到 www.virustotal.com 几个引擎扫描都是木马。

下载了 frp 0.31 到 0.40 的几个版本，www.virustotal.com 测试基本都是木马。

另外腾讯云两台 frp 跳板（ debian 系统，只跳板用，干净到连 helloworld 都没有）也被挖矿了

frp 代码本身应该没问题，我自己编译的 frp 放到 virustotal 扫描正常的，盲猜 github ci 出来的二进制有问题
答:我用的也是内网穿透，不过开启了 ssh 登陆，禁用了密码登陆！
答:看的有点慌 我也有台云服务器再跑 frp 给 nas 用的
nas 和云服务器我都开了 SSH ，但是端口不是默认的 22 ，我给改了。
应该问题就不大了吧？
答:瑟瑟发抖，现在最新的 0.43 ，作者放的 releases 还会不会有这个问题？