全球主机交流论坛

标题: shit，几天没看服务器，被人植入了挖矿病毒。 [打印本页]

作者: wyjistest 时间: 2024-4-25 09:43
标题: shit，几天没看服务器，被人植入了挖矿病毒。
今天登上去看了一下，有一个kthreadd进程，占满了CPU，当时就感觉不太对劲。细查了一下发现是挖矿病毒，然后和它斗智斗勇，最后把它删了。

检查了/var/log/auth.log发现是被ssh爆破了，然后装了个fail2ban，现在已经ban了十几个IP了，有没有MJJ爆破这些IP。

133.242.144.237
146.190.21.162
92.118.39.14
193.32.162.15
193.32.162.11
193.32.162.79
193.32.162.12
92.118.39.17
196.245.250.10
193.32.162.63
45.55.157.158
193.32.162.76
193.32.162.83
192.241.148.203

作者: Miriam 时间: 2024-4-25 09:47
是不是ssh密码太简单了？我的都是12位起步的混合密码

作者: wyjistest 时间: 2024-4-25 09:52

Miriam 发表于 2024-4-25 09:47
是不是ssh密码太简单了？我的都是12位起步的混合密码

是有点简单，和用户名一样，被扫到了，立马改了复杂密码

作者: Lenz 时间: 2024-4-25 09:54
把密码登录改成密钥登录一般都没事

作者: 似毛非毛 时间: 2024-4-25 10:20
爆破这种ip又没用。都是肉鸡干的。你应该把它挖矿的地址去举报了。。让他一毛钱都没有。

作者: wyjistest 时间: 2024-4-25 10:41

似毛非毛发表于 2024-4-25 10:20
爆破这种ip又没用。都是肉鸡干的。你应该把它挖矿的地址去举报了。。让他一毛钱都没有。 ...

也是，说不定都是受害者。

作者: lukemin 时间: 2024-4-25 10:43
一直都是密钥登录

作者: Gusek 时间: 2024-4-25 11:41
fail2ban资源占用高吗？

作者: kucn 时间: 2024-4-25 11:45
我直接关闭了SSH

作者: icon 时间: 2024-4-25 11:46
检查了/var/log/auth.log发现是被ssh爆破了??? 谁家没有一大堆扫描记录，你以为这就是被黑原因？

作者: 似毛非毛 时间: 2024-4-25 11:49
10楼说的有道理。ssh被爆破有日志正常的，密码登录的全都有，

作者: mdd 时间: 2024-4-25 11:50

kucn 发表于 2024-4-25 11:45
我直接关闭了SSH

这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连

。vnc？

作者: wyjistest 时间: 2024-4-25 11:54

icon 发表于 2024-4-25 11:46
检查了/var/log/auth.log发现是被ssh爆破了??? 谁家没有一大堆扫描记录，你以为这就是被黑原因？ :lo ...

我草，那应该咋排查，大佬指指路。

作者: 榆木 时间: 2024-4-25 11:55
这种密码基本半小时之内就会被僵尸网络拿下

作者: 茶会参谋 时间: 2024-4-25 11:55
你这自己发现了还算好的。好多客户自己都不知道，被投诉暂停机器了还来说自己啥也没干，怪商家污蔑哎。

作者: gitee 时间: 2024-4-25 11:58
用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

作者: wyjistest 时间: 2024-4-25 12:00

gitee 发表于 2024-4-25 11:58
用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

已经改成12位复杂密码了，但是爆破还在持续，fail2ban已经拉黑了55个IP了。

作者: icon 时间: 2024-4-25 12:09
本帖最后由 icon 于 2024-4-25 12:10 编辑

wyjistest 发表于 2024-4-25 11:54
我草，那应该咋排查，大佬指指路。

重装吧。。没有别的办法，应该一大堆后门和木马已经种好的了，不是只简单删除一个文件就好，除非这个病毒够弱智。然后，如果你不是弱密码的话，就得好好排查到底是什么东西有漏洞，这是个很难的课题。
只要在公网上开了22的服务器，扫描一天不停的，7*24的，对所有人这都是常态，并非中毒原因，当然，如果你是弱密码那另当别论。

作者: kucn 时间: 2024-4-25 13:03

mdd 发表于 2024-4-25 11:50
这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连。vnc？

宝塔啊。

欢迎光临全球主机交流论坛 (https://91ai.net/)