shit，几天没看服务器，被人植入了挖矿病毒。

mdd

kucn 发表于 2024-4-25 11:45
我直接关闭了SSH

这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连。vnc？

wyjistest

icon 发表于 2024-4-25 11:46
检查了/var/log/auth.log发现是被ssh爆破了???  谁家没有一大堆扫描记录，你以为这就是被黑原因？  :lo ...

我草，那应该咋排查，大佬指指路。

榆木

这种密码 基本半小时之内就会被僵尸网络拿下

茶会参谋

你这自己发现了还算好的。好多客户自己都不知道，被投诉暂停机器了还来说自己啥也没干，怪商家污蔑哎。

gitee

用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

wyjistest

gitee 发表于 2024-4-25 11:58
用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

已经改成12位复杂密码了，但是爆破还在持续，fail2ban已经拉黑了55个IP了。

icon

wyjistest 发表于 2024-4-25 11:54
我草，那应该咋排查，大佬指指路。

重装吧。。没有别的办法，应该一大堆后门和木马已经种好的了，不是只简单删除一个文件就好，除非这个病毒够弱智。然后，如果你不是弱密码的话，就得好好排查到底是什么东西有漏洞，这是个很难的课题。
只要在公网上开了22的服务器，扫描一天不停的，7*24的，对所有人这都是常态，并非中毒原因，当然，如果你是弱密码那另当别论。

kucn

mdd 发表于 2024-4-25 11:50
这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连。vnc？

宝塔啊。