Update 4 files

- /.github/PULL_REQUEST_TEMPLATE.yml - /links.md - /_data/ai-cache.json - /_posts/2025-07-13-hacked.md
2025-07-19 10:42:03 +00:00 · 2025-07-13 13:06:39 +00:00 · 2025-07-13 13:06:39 +00:00 · e3cf4e5b9e
commit e3cf4e5b9e
parent 4f3bab2162
4 changed files with 40 additions and 2 deletions
--- a/.github/PULL_REQUEST_TEMPLATE.yml
+++ b/.github/PULL_REQUEST_TEMPLATE.yml
@ -0,0 +1,9 @@
+<!-- 欢迎提交PR！如果是修复 BUG 或 typo ，可直接删除此模板。若是添加友链，请确认满足以下条件（将 [ ] 替换为 [x] 打勾）： -->
+
+- [ ] 这个 PR 是关于添加Links的
+- [ ] 我在申请之前加上了[贵站](https://mabbs.github.io)友链
+- [ ] 我的网站 **全站启用 HTTPS**
+- [ ] 我的博客满足： **原创文章比例>80%，数量>10** 的要求
+- [ ] 我的网站满足 **站点稳定，不弃坑** 的要求
+
+我的网站是： <!-- 例如：https://example.com -->
--- a/_data/ai-cache.json
+++ b/_data/ai-cache.json
@ -163,5 +163,6 @@
    "/2025/04/08/feed.html": "这篇文章讲述了作者如何利用AI编写JavaScript代码，实现一个功能：在鼠标悬停在博客链接上时，通过RSS/Atom源预览链接的最新文章，且只显示标题和时间。过程中提到了跨域问题的解决方案（CORS代理），以及AI在编写代码时遇到的挑战，如遍历订阅源路径的效率问题和XSS安全风险，最终作者通过DeepSeek检查和修改确保了代码的可靠性。作者对AI自动编写代码的体验表示既方便又有趣，但也强调了人工监督在确保代码质量上的必要性。",
    "/2025/04/22/ai-limit.html": "这篇文章主要探讨了作者对人工智能尤其是LLM（Large Language Models）在文本生成、超长文本分析和文章理解能力的观察。作者通过实例，如GPT-4的画图能力、AI在长文本处理上的局限、以及尝试使用AI进行文章分析和摘要的失败，揭示了LLM在处理大量信息和复杂逻辑代码时的上下文长度限制。作者认为这限制了AI的全局理解和替代人类的能力，但也提出了如果AI能自我调整权重以处理更长的上下文，可能有助于突破这一局限。此外，作者还分享了自己博客的内容和技术探索，展现了独立思考和对技术伦理的关注。",
    "/2025/05/07/mac-studio.html": "本文作者分享了Mac Studio M3 Ultra的使用体验。主要集中在以下几个方面：\n\n1.  **远程使用体验：** macOS远程配置简单，支持高性能屏幕共享模式，但对网络要求高。\n2.  **LLM体验：** 尝试了Xinference和LM Studio框架，前者存在问题，后者性能较好，但遇到DeepSeek模型输出问题。测试了Qwen3模型，在部分任务上表现优于DeepSeek-R1。\n3.  **模型对比：** Qwen3在生成流程图方面不如DeepSeek-R1。\n4.  **UTM虚拟机测试：** 在Mac Studio上使用VZ框架安装Windows失败；Asahi Linux不支持M3 Ultra，测试也未成功。\n5.  **总结：** Mac Studio M3 Ultra的512GB内存性能强大，本地跑LLM速度快，但作者并无其他高性能需求，觉得有些浪费。",
-    "/2025/06/02/optimize.html": "这篇文章记录了作者对博客进行的一系列修改和优化过程。主要改进包括：1）接受AI建议优化博客搜索功能和链接样式，解决鼠标悬停问题；2）调整字号、行高和布局，改为百分比布局以提高大屏幕体验；3）增加分段和首行缩进，改善阅读性；4）处理Gitalk评论授权问题，提供跳转到GitHub评论的选项；5）考虑了IE8的兼容性，如使用 Respond.js、XDR请求和调整搜索功能；6）增加了对Atom、RSS和JSONFeed的支持，以及网页快讯功能；7）对IndieWeb的支持，如添加个人身份识别和发布内容的微格式标记。作者在优化过程中注重了传统和现代技术的结合，以及对不同平台和浏览器兼容性的考虑。"
+    "/2025/06/02/optimize.html": "这篇文章记录了作者对博客进行的一系列修改和优化过程。主要改进包括：1）接受AI建议优化博客搜索功能和链接样式，解决鼠标悬停问题；2）调整字号、行高和布局，改为百分比布局以提高大屏幕体验；3）增加分段和首行缩进，改善阅读性；4）处理Gitalk评论授权问题，提供跳转到GitHub评论的选项；5）考虑了IE8的兼容性，如使用 Respond.js、XDR请求和调整搜索功能；6）增加了对Atom、RSS和JSONFeed的支持，以及网页快讯功能；7）对IndieWeb的支持，如添加个人身份识别和发布内容的微格式标记。作者在优化过程中注重了传统和现代技术的结合，以及对不同平台和浏览器兼容性的考虑。",
+    "/2025/07/01/xslt.html": "这篇文章讲述了作者如何为博客的XML订阅文件添加一个与博客主题一致的XSLT样式，以提高整体风格的统一性。作者遇到的问题包括Jekyll引擎的限制、XML格式的规则、命名空间对输出的影响，以及如何解决样式问题。通过模仿现有样式、自定义XSLT布局和doctype-system设置，作者最终成功地为订阅文件和Sitemap创建了定制的XSLT样式。整个过程不仅提升了博客细节，也让作者学习到了关于XML和XSLT的新知识。"
 }
--- a/_posts/2025-07-13-hacked.md
+++ b/_posts/2025-07-13-hacked.md
@ -0,0 +1,28 @@
+---
+layout: post
+title: 一次服务器被入侵的经历
+tags: [Linux, 安全, 服务器, 入侵]
+---
+
+  即使是被入侵了也可以学到一些知识！<!--more-->    
+
+# 起因
+  前几天，我闲来无事登录了一下一台之前一直闲置的服务器，登录上去后，乍一看似乎没有任何问题，然后习惯性的执行了一下`top`命令看了一眼。从进程列表来看，似乎没有什么明显异常的地方，但是服务器的load值很高，cpu的us值也很高。   
+  以前我倒也遇到过几次load值很高的情况，一般是硬盘或NFS等网络存储挂了但是依然有程序在读写挂载的目录会有这种问题，但那种情况一般高的是cpu的wa值，而不是us值，us值是软件正常用掉的……但是进程列表里根本没有占CPU的程序啊……看来服务器是被入侵了😰。   
+
+# 检查服务器
+  虽然说是要查，但其实我根本不知道进程隐藏的原理😂，虽然听说过有恶意软件会这样做，现在遇到了一时半会又想不出来怎么找。还好这是台闲置的服务器，上面什么东西都没有跑，所以正常来说除了ssh连接之外，这个服务器不该有任何其他的连接，于是我执行了一下`netstat -tanp`看了一眼，发现有个奇怪的进程使用一个境外的IP和我的服务器建立了连接，用`ps -ef`查了一下这个 PID，结果进程名显示为`[kcached]`……这下给我整不会了。   
+  后来查了些资料知道了可以用`lsof -p`查看进程读取的文件，才看到木马的本体：`/usr/bin/gs-dbus`。不过如果我只是杀掉这个进程然后删除文件，那攻击者肯定会重新回来，所以我得排除一下是不是还有别的木马文件。   
+  一般来说攻击者权限维持的方式大多是crontab，不过我看了一下配置文件里似乎没有，root下的`authorized_keys`倒是有个陌生的公钥于是顺手删掉了……也没有其他文件夹下有`gs-dbus`文件……难道没有别的木马文件了吗？后来我仔细找了一下，发现有个很可疑的文件`/usr/local/lib/libprocesshider.so`，一看就不是什么好东西🤣，后来在GitHub上搜了一下，是[libprocesshider](https://github.com/gianlucaborello/libprocesshider)这个项目，就是它让我在top中什么也没找到的，看文档中应用是添加一个`/etc/ld.so.preload`文件，所以解除隐藏效果我也只需要删掉这个文件就好啦。   
+  不过感觉还是不够……所以我全盘搜索了一下`libprocesshider.so`文件，果不其然还有，通过那个文件在/usr/games里找到了木马的大本营，里面有一堆这个入侵者的工具，于是就顺手保存了一份然后从服务器上删掉了。   
+  另外还有自启动到底是怎么实现的？既然不是crontab……应该是systemd。看了一下果不其然有个服务在保持`gs-dbus`的运行，不过程序我已经删了，所以它现在只会不停尝试重启，接下来只需要停止并禁用这个服务就行了。   
+  至于为什么会被入侵……我也很清楚，其实并没有什么漏洞，单纯是设置的密码太简单了，被嘿客扫到啦！所以解决起来也很简单，把这些垃圾清除掉之后设置个稍微复杂一点的密码就行了。   
+
+# 入侵分析
+  既然这个嘿客都不删他的工具，留下来就是给我分析的吧？那么我就像[上次](/2024/11/02/trojan.html)一样分析一下他使用的工具吧～首先里面有个`deploy-all.sh`文件，看起来应该是登录服务器之后最先执行的程序，在这里面有个压缩包，解压出来之后搜了一下里面的文件，发现是[Global Socket](https://github.com/hackerschoice/gsocket)项目，看起来应该是包含反弹Shell、伪装以及权限维持之类功能的一个小工具。看了下源代码才知道原来用`exec -a`就可以伪装进程的名称，而且那个`gs-dbus`就是这个项目里的程序……这么看来挖矿的操作应该是入侵者远程执行的代码，所以在查找进程的时候发现了它吧。   
+  除此之外里面还有个logclean项目，看了一眼是[mig-logcleaner-resurrected](https://github.com/infinite-horizon219/mig-logcleaner-resurrected)项目，看起来应该是清除日志用的，不过我根本没从日志找它🤣，即使入侵者用了对我来说也没起到什么作用。不过倒也是个挺有用的项目，也许在某些扫尾工作很有用。   
+  最后就是[libprocesshider](https://github.com/gianlucaborello/libprocesshider)这个项目，也许还有其他隐藏进程的方式，不过知道这个项目之后最起码以后再遇到类似的情况我就会优先去看`/etc/ld.so.preload`文件了。   
+  至于其他的就是一些爆破SSH的工具，估计是用来横向渗透的，看起来有点原始……也没啥用处，另外还有连接XMR矿池的一些配置文件，以及我也看不出来的玩意，应该就这么多有用的东西了。   
+
+# 感想
+  虽然被入侵是没有预料的事情，但还好这个服务器是闲置的，装完系统之后上面什么有用的东西都没有，所以除了入侵者让它不太闲置赚了点小钱之外对我倒是没什么损失，另外还了解到了一些不错的小工具，这么看来入侵者赚的这点小钱就当是给他的学费吧🤣。   
--- a/links.md
+++ b/links.md
@ -14,7 +14,7 @@ tags: [links]
 订阅以上链接：[OPML](/blogroll.opml)   

 ## Links申请
-请在下面留言或者直接[修改Links](https://github.com/Mabbs/mabbs.github.io/edit/master/_data/links.csv)并发起PR   
+请直接[修改Links](https://github.com/Mabbs/mabbs.github.io/edit/master/_data/links.csv)并发起PR或者在下面留言   
 请在申请之前加上本站友链   
 要求：
 1. 全站HTTPS