继上次服务器被异常登录,我禁用密钥登录改用密钥后
依旧没有改变被异常登录的行为,哈哈,啥鸡儿情况。
我把在 claude、grok、geimi、gpt 里搜索的所有的排查病毒异常等方法都试了,显示是服务器安全的。
所以这种情况,就是服务器里被人注入了东西,随时可以登录是吧,解决办法是不是只有重装系统。
Guardian
异常登录进来的 IP 是固定的吗?有多少 不同 IP?
OP
不固定,美国日本新加坡乱七八糟每次几乎都不一样,偶尔会有重复的。
而且是这样,我几台服务器他是同时弄了,我好多台在腾讯云上,他每次登录,都是好几台同时登录。
但是服务器里资源啥的都正常感觉,里面 cpu 内存磁盘等的情况,也都没有出现过异常波动啥的。
OP
就像这样,每次 ip 都会不一样,但是几乎都是同时登录
Guardian
不放心就重装系统,想控制机器不是非要远程登录,注入 web 进程也可以。一句话木马,webshell 这些。
Guardian
别是你自己挂的代理吧.
你把 ssh 端口换一个试试. 然后看下防火墙的外流数据.
把 ssh 端口关了或者只对你信任的 IP 开放
密码登录被禁了,只允许使用密钥登录还被人登上来的话
下面这几个步骤挨个试试检查一下
1.last 和 lastlog 看一下最后登录的用户和 ip
2.查一下/etc/passwd 和/etc/sudoers 看看有没有啥特殊的用户
3.看一下全部可登录用户的.ssh/authorized_keys 有没有不认识的公钥
如果都是正常的,一般来说应该不会再被黑客登上去了,除非你机器上的 sshd 已经被黑客替换了或者是又被黑客启动了一个修改过的类 sshd 服务(极有可能伪装成一些其他的二进制名称,扫一下本地启动的全部端口吧,看看都什么协议,会不会有一些不认识的端口是 ssh 或者 telnet 等协议)
OP
弄来弄去,感觉看下来,到处都是虫子在爬
公有云的主机而且有公网 ip 的话,被这么扫是基操。
简单点搞,要么在云上只允许你自己的 IP 登录 ssh。
要么就试试 Fail2Ban https://github.com/fail2ban/fail2ban, 某个 IP 多次登录失败后防火墙直接禁掉。
可以顺手给 sshd 默认的 22 端口也改掉,改掉之后也会少很多,大部分这种攻击都只会搞默认端口。
OP
@LeeXN 主要是我改掉密码登录用密钥后,他依旧天天和之前一样登录,我就怀疑不是密码爆了,是他在服务器安了东西
@tgmeng-com 用密钥登录后,知道密码也登不上。
如果怀疑他还能登你的服务器的话,就看看你的服务器的 sshd 是否已经被人替换掉了(rpm -V 或者 dpkg --verify),再看看有没有其他进程也监听端口,并用了 ssh 协议。nmap 扫一下就行 nmap -sV -p <PORT> 127.0.0.1 。
除非老哥把你的 netstat / ps / nmap / lsof / top 等等命令都篡改了。如果是的话,靠扫 /proc 也可以,或者挂一个 busybox 进去用 busybox 的 命令。
能不能直接设置不允许境外 IP 登录?如果可以的话试试看这样有没有效果。
OP
我的一些自动化部署的,还需要从其他地方推代码到这,境外的部分还需要放开。
完了我抽空备份下数据重装下,搜来搜去,给我感觉就是,里面到处充满了其他人留的东西,但是又找不到,哈哈哈
换个磁盘,备份数据。
我朋友一台机子,一顿饭借给他的朋友了,他的朋友找了一个不靠谱的第三个人给挂码了,把 ssh root 一系列直接给禁用了,阿里云天天发警告,最后也尝试修复,找不到完全找不到,只好重新安装了
这么诡异的登录吗,直接重装系统算了
你是不是用的 22 端口,不要用 22,换成别的端口。
你看看日志 /var/log/auth 里面有完整的验证日志
如果被入侵了,天天触发告警,那这个入侵的人水平真不怎么样
发表一个评论
R保持
估计是,你改了密码啥的,就发给他了可能。 不行检查下出站的内容?