被国外 ip 连了 SSH, 但是"who"命令结果里显示没有该 ip 的终端.

2023-07-08 01:26:31 +08:00
 chackchackGO
这是怎么回事?
1103 次点击
所在节点    问与答
10 条回复
Qetesh
2023-07-08 02:57:16 +08:00
系统命令被劫持了,可以用 busybox
chackchackGO
2023-07-08 10:52:00 +08:00
@Qetesh 有什么溯源思路吗? 我想知道什么时候被劫持的之类的信息.
chackchackGO
2023-07-08 11:30:44 +08:00
@Qetesh 在排查连接对应的 PID 了, 但是 lsof 回显没什么东西, 很奇怪.
yinmin
2023-07-08 11:47:18 +08:00
TCP 有链接,有没有可能那个国外 ip 尝试登录,但是一直没成功。
wdlth
2023-07-08 12:21:31 +08:00
应该扫描器吧,可以用 lastb 看看有没有登录失败的。
现在扫描的很多,建议装 fail2ban 之类的限制一下。
chackchackGO
2023-07-08 13:38:11 +08:00
@wdlth
@yinmin
看了一下 auth.log. 爆破 2 天 2 夜了. 我没了解到这些爆破脚本原来能接受这么长时间的尝试爆破.
patrickyoung
2023-07-08 15:11:03 +08:00
提供有偿应急处置服务,Best-Effort Delivery, 如果确认登录成功的话就只剩备份重装的份了。
qfdk
2023-07-08 15:51:12 +08:00
来吧 前几天刚把坑补上 https://github.com/qfdk/anubis 可以拿去试试
qfdk
2023-07-08 15:53:37 +08:00
配合 https://github.com/qfdk/uranus 也是有奇效的
flynaj
2023-07-09 07:34:05 +08:00
就是一直在登录但是没有成功,当然 who 不出来。改一下 ssh 端口。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/955019

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX