shit，几天没看服务器，被人植入了挖矿病毒。

wyjistest · 发表于 2024-4-25 09:43:58

今天登上去看了一下，有一个kthreadd进程，占满了CPU，当时就感觉不太对劲。细查了一下发现是挖矿病毒，然后和它斗智斗勇，最后把它删了。

检查了/var/log/auth.log发现是被ssh爆破了，然后装了个fail2ban，现在已经ban了十几个IP了，有没有MJJ爆破这些IP。

133.242.144.237
146.190.21.162
92.118.39.14
193.32.162.15
193.32.162.11
193.32.162.79
193.32.162.12
92.118.39.17
196.245.250.10
193.32.162.63
45.55.157.158
193.32.162.76
193.32.162.83
192.241.148.203

Miriam · 发表于 2024-4-25 09:47:50

是不是ssh密码太简单了？我的都是12位起步的混合密码

wyjistest · 发表于 2024-4-25 09:52:50

Miriam 发表于 2024-4-25 09:47
是不是ssh密码太简单了？我的都是12位起步的混合密码

是有点简单，和用户名一样，被扫到了，立马改了复杂密码

Lenz · 发表于 2024-4-25 09:47:00

把密码登录改成密钥登录  一般都没事

似毛非毛 · 发表于 2024-4-25 09:54:00

爆破这种ip又没用。都是肉鸡干的。你应该把它挖矿的地址去举报了。。让他一毛钱都没有。

wyjistest · 发表于 2024-4-25 10:20:32

似毛非毛发表于 2024-4-25 10:20
爆破这种ip又没用。都是肉鸡干的。你应该把它挖矿的地址去举报了。。让他一毛钱都没有。 ...

也是，说不定都是受害者。

lukemin · 发表于 2024-4-25 10:41:55

一直都是密钥登录

Gusek · 发表于 2024-4-25 10:20:00

fail2ban资源占用高吗？

kucn · 发表于 2024-4-25 10:43:16

我直接关闭了SSH

icon似毛非毛 · 发表于 2024-4-25 11:41:53

检查了/var/log/auth.log发现是被ssh爆破了??? 谁家没有一大堆扫描记录，你以为这就是被黑原因？

10楼说的有道理。ssh被爆破有日志正常的，密码登录的全都有，

		自动登录	找回密码
密码			立即注册