建议大家 SSH 密码还是设复杂点吧,或者关闭密码登录, 只允许公钥登录

2019-06-11 10:01:20 +08:00
 qwerthhusn

之前看到 SSH 好像被异地登录,netstat 和 ps 去看,有一些奇怪的东西,然后一扫就这样了。现在正在看怎么杀。

/tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/meonga: Unix.Trojan.Agent-37008 FOUND
/tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
/usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
/usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
/usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
/usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
/usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
/usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
/usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND
12626 次点击
所在节点    Linux
75 条回复
arloor
2019-06-11 10:28:33 +08:00
trojan?
titanium98118
2019-06-11 10:31:26 +08:00
一直都是禁止密码登录的,但是否足够?
dorothyREN
2019-06-11 10:32:51 +08:00
我用的 google 二次验证
VANHOR
2019-06-11 10:34:38 +08:00
+1
brust
2019-06-11 10:35:21 +08:00
google 二次验证是什么意思
msg7086
2019-06-11 10:38:37 +08:00
怎么杀?重装就杀了。
如果不关密码登录的话,那至少把 fail2ban 装上吧。
qwerthhusn
2019-06-11 10:42:51 +08:00
@titanium98118 应该没问题吧,只要控制好私钥别泄露就行。比如别人问你要 Key 让你能登他的,你别把公钥和私钥都给他就行。我看现在推荐的是 ED25519 256 位的密钥,不过大部分人(包括我)还是在用那种 RSA2048 位的。
qwerthhusn
2019-06-11 10:45:15 +08:00
@msg7086 要干净的话,那就重装系统呗,恨不得格盘重建 RAID,幸亏里面没太多数据,而且都是容器好备份迁移。
pxw2002
2019-06-11 10:46:44 +08:00
家里公网 ip 只有后三位会变
服务器只允许我的 ip 访问所有端口
其他 ip 只允许 80.443 端口
HuasLeung
2019-06-11 10:46:45 +08:00
量子计算没取得重大突破之前,强密码口令就 ok,暴力破解是极其困难的
jackmod
2019-06-11 10:46:52 +08:00
换端口,关密码,还可以考虑只通过代理访问(
HuasLeung
2019-06-11 10:47:23 +08:00
@HuasLeung 看看是不是系统安装的软件程序存在其他漏洞
qwerthhusn
2019-06-11 10:59:45 +08:00
@brust libpam-google-authenticator 在机器上装一个组件,配置上 Google 认证信息,然后登录的时候去 Google 验证一把(通过手机什么的)。这种只能用在个人的在国外的服务器。。。。我猜的
mostkia
2019-06-11 11:04:38 +08:00
我一直图方便没有关密码登录,每次登陆都有上万的爆破记录。。
密码的话 18 位密码。。[狗头]所以还是大致放心的。从 ssh 爆破基本没什么可能性。
2exploring
2019-06-11 11:14:17 +08:00
我只允许 key + 2FA 登录,并且开 fail2ban。
webdisk
2019-06-11 11:17:23 +08:00
经过一层 VPN 后只允许密钥登陆
shilyx
2019-06-11 11:22:43 +08:00
每次登录都能发现几万次的失败的登录尝试
换了 ssh 端口
降低到了几十次非法尝试
qwerthhusn
2019-06-11 11:25:24 +08:00
@shilyx 大部分肉鸡只看 22,不过也有一些肉鸡是玩端口扫面的。我之前也遇到过
Caan07
2019-06-11 11:28:07 +08:00
换端口;
密钥加强再加密登录;
禁止账户密码登录;
因为不是固定 IP,不然我就仅限指定 IP 了。
wenzhoou
2019-06-11 11:30:42 +08:00
自从我换了 ssh 端口了以后就再也没有被爆破过。
结论,换端口足够了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/572706

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX