shit，几天没看服务器，被人植入了挖矿病毒。

似毛非毛 · 发表于 2024-4-25 11:49:11

10楼说的有道理。ssh被爆破有日志正常的，密码登录的全都有，

mdd · 发表于 2024-4-25 11:50:51

kucn 发表于 2024-4-25 11:45
我直接关闭了SSH

这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连

。vnc？

wyjistest · 发表于 2024-4-25 11:54:07

icon 发表于 2024-4-25 11:46
检查了/var/log/auth.log发现是被ssh爆破了??? 谁家没有一大堆扫描记录，你以为这就是被黑原因？ :lo ...

我草，那应该咋排查，大佬指指路。

榆木 · 发表于 2024-4-25 11:55:01

这种密码基本半小时之内就会被僵尸网络拿下

茶会参谋 · 发表于 2024-4-25 11:55:37

你这自己发现了还算好的。好多客户自己都不知道，被投诉暂停机器了还来说自己啥也没干，怪商家污蔑哎。

gitee · 发表于 2024-4-25 11:58:06

用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

wyjistest · 发表于 2024-4-25 12:00:43

gitee 发表于 2024-4-25 11:58
用户名和密码都改改，基本上破解不了。用户名root就很容易被破解

已经改成12位复杂密码了，但是爆破还在持续，fail2ban已经拉黑了55个IP了。

icon · 发表于 2024-4-25 12:09:20

本帖最后由 icon 于 2024-4-25 12:10 编辑

wyjistest 发表于 2024-4-25 11:54
我草，那应该咋排查，大佬指指路。

重装吧。。没有别的办法，应该一大堆后门和木马已经种好的了，不是只简单删除一个文件就好，除非这个病毒够弱智。然后，如果你不是弱密码的话，就得好好排查到底是什么东西有漏洞，这是个很难的课题。
只要在公网上开了22的服务器，扫描一天不停的，7*24的，对所有人这都是常态，并非中毒原因，当然，如果你是弱密码那另当别论。

kucn · 发表于 2024-4-25 13:03:43

mdd 发表于 2024-4-25 11:50
这么6，不开SSH服务就没有人能爆破SSH，很好奇你自己怎么连。vnc？

宝塔啊。

		自动登录	找回密码
密码			注册

[美国VPS] shit，几天没看服务器，被人植入了挖矿病毒。