共计 2479 个字符,预计需要花费 7 分钟才能阅读完成。
内容最后由 time12sads 于 2022-11-13 19:11 编辑 今天登录了下 VirMach 的 VPS,发现了一个陌生的 ssh 连接,查了下 ip,好像是 连云港的 root@hostname:~# netstatActive Internet connections (w/o servers)Proto Recv-Q Send-Q Local Address Foreign Address Statetcp 0 316 debian:ssh 我的 ip ESTABLISHEDtcp 0 1057 debian:ssh 61.177.173.52:61532 ESTABLISHED 对方的 IP 我的 VPS 是不是被黑了?问题已解决。VPS 的 ssh 端口没改,还是 22。上面显示的 只是对方正在爆破,并没有真正连接进 VPS。用 last 查看了下登录日志,确实只有我自己所在的城市的 IP 登录进过。目前已经改了 ssh 端口,爆破的终于不见了。keykey 2022-11-13 18:32 2 不法分子正在爆破你的 VPS,赶紧关机保命? 沙龙 2022-11-13 18:33 3 如果你确定 61.177.173.52 不是你的 IP,那 VPS 已经被黑了,做好数据备份,重置下吧(担心存在后门)。? xinchenmi 2022-11-13 18:33 4 不开 Fail2Ban?昔洛 z 2022-11-13 18:34 5 使用密钥登陆吧 time12sads 2022-11-13 18:36 6keykey 发表于 2022-11-13 18:32 不法分子正在爆破你的 VPS,赶紧关机保命是正在爆破吗?还是已经用 ssh 登录进去了?我密码 16 位数随机生成的 time12sads 2022-11-13 18:37 7 沙龙 发表于 2022-11-13 18:33 如果你确定 61.177.173.52 不是你的 IP,那 VPS 已经被黑了,做好数据备份,重置下吧(担心存在后门)。这是已经破译了密码,登录进去了吗?我密码 16 位数随机生成的 zsj403919383 2022-11-13 18:41 8 查看下登陆日记不就行了 zerone110 2022-11-13 18:45 9 默认端口换了没??time12sads 2022-11-13 18:46 10zerone110 发表于 2022-11-13 18:45 默认端口换了没??没换这就换端口 time12sads 2022-11-13 18:48 11zsj403919383 发表于 2022-11-13 18:41 查看下登陆日记不就行了我用 last 查了下,登录的 IP 都是我这边城市的 IP,是不是说 netstat 上显示的 IP,是对面爆破我密码使用的 IP,并没有登录进 VPS 里?我的 VPS 目前还是安全的?WZ-Software 2022-11-13 18:50 12**,这 IP 也在扫我机器咋办啊 沙龙 2022-11-13 18:51 13time12sads 发表于 2022-11-13 18:37 这是已经破译了密码,登录进去了吗?我密码 16 位数随机生成的这个 ESTABLISHED 状态表示连接是活跃的,登录到系统了。WZ-Software 2022-11-13 18:53 14 沙龙 发表于 2022-11-13 18:51 这个 ESTABLISHED 状态表示连接是活跃的,登录到系统了。大佬,这 IP 也在草我机器,怎么把他踹掉 time12sads 2022-11-13 18:54 15WZ-Software 发表于 2022-11-13 18:50**,这 IP 也在扫我机器咋办啊我换端口了。我刚才查了下系统的登录日志,还好只有我登录进去了。它应该只是在尝试登录吧?WZ-Software 2022-11-13 18:54 16time12sads 发表于 2022-11-13 18:54 我换端口了。我刚才查了下系统的登录日志,还好只有我登录进去了。它应该只是在尝试登录吧?… 怎么改 SSH 端口,我也要换了 沙龙 2022-11-13 18:56 17WZ-Software 发表于 2022-11-13 18:53 大佬,这 IP 也在草我机器,怎么把他踹掉我擦,没这么巧吧?结束进程:kill -9 12725 其中 12725 是异常 IP 与 ssh 登录进程 id。结束后,赶紧改密码把。WZ-Software 2022-11-13 18:56 18 沙龙 发表于 2022-11-13 18:56 我擦,没这么巧吧?结束进程:kill -9 12725 你看我楼层的图,就是这 IP 沙龙 2022-11-13 18:59 19WZ-Software 发表于 2022-11-13 18:56 你看我楼层的图,就是这 IP 发下这个截图 netstat -antpl |grep ssh hitachi 2022-11-13 19:01 20 居然能被你察觉,对方水平也不怎么样呀。一般不都是暴破登录种马 rootkit 持久化一条龙么。time12sads 2022-11-13 19:04 21hitachi 发表于 2022-11-13 19:01 居然能被你察觉,对方水平也不怎么样呀。一般不都是暴破登录种马 rootkit 持久化一条龙么 …. 虚惊一场,VPS 只是在被爆破,幸好当时密码是随机 16 位,特殊字符、大小写都有。现在改了端口了,爆破的终于没了 hitachi 2022-11-13 19:06 22time12sads 发表于 2022-11-13 11:04 虚惊一场,VPS 只是在被爆破,幸好当时密码是随机 16 位,特殊字符、大小写都有。现在改了端口了,爆破的 … 小问题,就算失陷了若没什么重要数据大不了重装。time12sads 2022-11-13 19:15 23WZ-Software 发表于 2022-11-13 18:54 怎么改 SSH 端口,我也要换了你用 last 命令查一下,看是不是只有你自己所在的 IP 登录进过?修改 ssh 端口:https://**blogs.com/zxlovenet/p/4571882.html alfredo 2022-11-13 19:16 24last lastb
