V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
chackchackGO
V2EX  ›  问与答

被国外 ip 连了 SSH, 但是"who"命令结果里显示没有该 ip 的终端.

  •  
  •   chackchackGO · 2023-07-08 01:26:31 +08:00 · 1110 次点击
    这是一个创建于 515 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这是怎么回事?
    10 条回复    2023-07-09 07:34:05 +08:00
    Qetesh
        1
    Qetesh  
       2023-07-08 02:57:16 +08:00 via iPhone   ❤️ 1
    系统命令被劫持了,可以用 busybox
    chackchackGO
        2
    chackchackGO  
    OP
       2023-07-08 10:52:00 +08:00
    @Qetesh 有什么溯源思路吗? 我想知道什么时候被劫持的之类的信息.
    chackchackGO
        3
    chackchackGO  
    OP
       2023-07-08 11:30:44 +08:00
    @Qetesh 在排查连接对应的 PID 了, 但是 lsof 回显没什么东西, 很奇怪.
    yinmin
        4
    yinmin  
       2023-07-08 11:47:18 +08:00 via iPhone
    TCP 有链接,有没有可能那个国外 ip 尝试登录,但是一直没成功。
    wdlth
        5
    wdlth  
       2023-07-08 12:21:31 +08:00
    应该扫描器吧,可以用 lastb 看看有没有登录失败的。
    现在扫描的很多,建议装 fail2ban 之类的限制一下。
    chackchackGO
        6
    chackchackGO  
    OP
       2023-07-08 13:38:11 +08:00
    @wdlth
    @yinmin
    看了一下 auth.log. 爆破 2 天 2 夜了. 我没了解到这些爆破脚本原来能接受这么长时间的尝试爆破.
    patrickyoung
        7
    patrickyoung  
       2023-07-08 15:11:03 +08:00 via iPhone
    提供有偿应急处置服务,Best-Effort Delivery, 如果确认登录成功的话就只剩备份重装的份了。
    qfdk
        8
    qfdk  
       2023-07-08 15:51:12 +08:00 via iPhone
    来吧 前几天刚把坑补上 https://github.com/qfdk/anubis 可以拿去试试
    qfdk
        9
    qfdk  
       2023-07-08 15:53:37 +08:00 via iPhone
    配合 https://github.com/qfdk/uranus 也是有奇效的
    flynaj
        10
    flynaj  
       2023-07-09 07:34:05 +08:00 via Android
    就是一直在登录但是没有成功,当然 who 不出来。改一下 ssh 端口。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3724 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:35 · PVG 18:35 · LAX 02:35 · JFK 05:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.