全球主机交流论坛

标题: 小鸡出现陌生的ssh连接，小鸡是不是被黑了？ [打印本页]

作者: time12sads 时间: 2022-11-13 18:30
标题: 小鸡出现陌生的ssh连接，小鸡是不是被黑了？
本帖最后由 time12sads 于 2022-11-13 19:11 编辑

今天登录了下vir的小鸡，发现了一个陌生的ssh连接，查了下 ip，好像是连云港的
root@debian:~# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address          Foreign Address       State
tcp       0 316 debian:ssh             我的ip                         ESTABLISHED
tcp       0 1057 debian:ssh             61.177.173.52:61532 ESTABLISHED 对方的ip

我的小鸡是不是被黑了？

问题已解决。小鸡的ssh端口没改，还是22。上面显示的只是对方正在爆破，并没有真正连接进小鸡。用 last 查看了下登录日志，确实只有我自己所在的城市的ip登录进过。目前已经改了ssh端口，爆破的终于不见了。

作者: keykey 时间: 2022-11-13 18:32
不法分子正在爆破你的小鸡，赶紧关机保命

作者: 沙龙 时间: 2022-11-13 18:33
如果你确定61.177.173.52不是你的IP，那vps已经被黑了，做好数据备份，重置下吧（担心存在后门）。

/**
* 垂死病中惊坐起，笑问客从何处来
*
* Link https://greasyfork.org/zh-CN/scripts/396933-hostloc-zsbd
*/

作者: xinchenmi 时间: 2022-11-13 18:33
不开fail2ban？

作者: 昔洛z 时间: 2022-11-13 18:34
使用密钥登陆吧

作者: time12sads 时间: 2022-11-13 18:36

keykey 发表于 2022-11-13 18:32
不法分子正在爆破你的小鸡，赶紧关机保命

是正在爆破吗？还是已经用 ssh 登录进去了？我密码16位数随机生成的

作者: time12sads 时间: 2022-11-13 18:37

沙龙发表于 2022-11-13 18:33
如果你确定61.177.173.52不是你的IP，那vps已经被黑了，做好数据备份，重置下吧（担心存在后门）。

这是已经破译了密码，登录进去了吗？我密码16位数随机生成的

作者: zsj403919383 时间: 2022-11-13 18:41
查看下登陆日记不就行了

作者: zerone110 时间: 2022-11-13 18:45
默认端口换了没？？

作者: time12sads 时间: 2022-11-13 18:46

zerone110 发表于 2022-11-13 18:45
默认端口换了没？？

没换

这就换端口

作者: time12sads 时间: 2022-11-13 18:48

zsj403919383 发表于 2022-11-13 18:41
查看下登陆日记不就行了

我用 last 查了下，登录的ip都是我这边城市的ip，是不是说 netstat 上显示的ip，是对面爆破我密码使用的ip，并没有登录进小鸡里？我的小鸡目前还是安全的？

作者: WZ-Software 时间: 2022-11-13 18:50
**，这IP也在扫我机器

咋办啊

作者: 沙龙 时间: 2022-11-13 18:51

time12sads 发表于 2022-11-13 18:37
这是已经破译了密码，登录进去了吗？我密码16位数随机生成的

这个ESTABLISHED状态表示连接是活跃的，登录到系统了。

作者: WZ-Software 时间: 2022-11-13 18:53

沙龙发表于 2022-11-13 18:51
这个ESTABLISHED状态表示连接是活跃的，登录到系统了。

大佬，这IP也在草我机器，怎么把他踹掉

作者: time12sads 时间: 2022-11-13 18:54

WZ-Software 发表于 2022-11-13 18:50
**，这IP也在扫我机器

咋办啊

我换端口了。我刚才查了下系统的登录日志，还好只有我登录进去了。它应该只是在尝试登录吧？

作者: WZ-Software 时间: 2022-11-13 18:54

time12sads 发表于 2022-11-13 18:54
我换端口了。我刚才查了下系统的登录日志，还好只有我登录进去了。它应该只是在尝试登录吧？ ...

怎么改SSH端口，我也要换了

作者: 沙龙 时间: 2022-11-13 18:56

WZ-Software 发表于 2022-11-13 18:53
大佬，这IP也在草我机器，怎么把他踹掉

我擦，没这么巧吧？

结束进程：kill -9 12725
其中12725是异常IP与ssh登录进程id。

结束后，赶紧改密码把。

作者: WZ-Software 时间: 2022-11-13 18:56

沙龙发表于 2022-11-13 18:56
我擦，没这么巧吧？

结束进程：kill -9 12725

你看我楼层的图，就是这IP

作者: 沙龙 时间: 2022-11-13 18:59

WZ-Software 发表于 2022-11-13 18:56
你看我楼层的图，就是这IP

发下这个截图
netstat -antpl |grep ssh

作者: hitachi 时间: 2022-11-13 19:01
居然能被你察觉，对方水平也不怎么样呀。
一般不都是暴破登录种马rootkit 持久化一条龙么。

作者: time12sads 时间: 2022-11-13 19:04

hitachi 发表于 2022-11-13 19:01
居然能被你察觉，对方水平也不怎么样呀。
一般不都是暴破登录种马rootkit 持久化一条龙么。 ...

虚惊一场，小鸡只是在被爆破，幸好当时密码是随机16位，特殊字符、大小写都有。现在改了端口了，爆破的终于没了

作者: hitachi 时间: 2022-11-13 19:06

time12sads 发表于 2022-11-13 11:04
虚惊一场，小鸡只是在被爆破，幸好当时密码是随机16位，特殊字符、大小写都有。现在改了端口了，爆破的 ...

小问题，就算失陷了若没什么重要数据大不了重装。

作者: time12sads 时间: 2022-11-13 19:15
本帖最后由 time12sads 于 2022-11-13 19:18 编辑

WZ-Software 发表于 2022-11-13 18:54
怎么改SSH端口，我也要换了

你用 last 命令查一下，看是不是只有你自己所在的ip登录进过？
修改ssh端口：https://www请删除文字.cnblogs.com/zxlovenet/p/4571882.html

作者: alfredo 时间: 2022-11-13 19:16
last lastb

作者: gundam06ms 时间: 2022-11-13 19:49
少见多怪了用22端口这很正常

22端口小鸡开了三个月没关机碰瓷登录记录几十万条

可以顺便收集下人家撞你小鸡的实战账密组合

换掉默认22端口会少很多它们也懒得天天扫端口

欢迎光临全球主机交流论坛 (https://443502.xyz/)