被国外 ip 连了 SSH, 但是"who"命令结果里显示没有该 ip 的终端.
chackchackGO · 2023-07-08 01:26:31 +08:00 · 1091 次点击这是一个创建于 482 天前的主题,其中的信息可能已经有所发展或是发生改变。
这是怎么回事?
 |
1
Qetesh 2023-07-08 02:57:16 +08:00 via iPhone  1
系统命令被劫持了,可以用 busybox
|
 |
2
chackchackGO OP @Qetesh 有什么溯源思路吗? 我想知道什么时候被劫持的之类的信息.
|
|
3
chackchackGO OP @Qetesh 在排查连接对应的 PID 了, 但是 lsof 回显没什么东西, 很奇怪.
|
 |
4
yinmin 2023-07-08 11:47:18 +08:00 via iPhone
TCP 有链接,有没有可能那个国外 ip 尝试登录,但是一直没成功。
|
 |
5
wdlth 2023-07-08 12:21:31 +08:00
应该扫描器吧,可以用 lastb 看看有没有登录失败的。
现在扫描的很多,建议装 fail2ban 之类的限制一下。 |
|
6
chackchackGO OP |
 |
7
patrickyoung 2023-07-08 15:11:03 +08:00 via iPhone
提供有偿应急处置服务,Best-Effort Delivery, 如果确认登录成功的话就只剩备份重装的份了。
|
 |
8
qfdk 2023-07-08 15:51:12 +08:00 via iPhone
来吧 前几天刚把坑补上 https://github.com/qfdk/anubis 可以拿去试试
|
|
9
qfdk 2023-07-08 15:53:37 +08:00 via iPhone
配合 https://github.com/qfdk/uranus 也是有奇效的
|
 |
10
flynaj 2023-07-09 07:34:05 +08:00 via Android
就是一直在登录但是没有成功,当然 who 不出来。改一下 ssh 端口。
|
Select Language