记一次ssh被爆破与反思

linux admin 2年前 (2023-05-11) 868次浏览 1个评论

缘起

小白自己是写了一个自己用的小鸡重装首次运行脚本,主要就是装好一些常见的程序,然后git clone一些我个人常用的仓库,其中包括:https://github.com/seal0207/EasyRealM 这个realm的安装脚本,其实已经很久不用的,但是脚本也就一直懒得改了。最近,某一天,我登录小鸡,偶然间,发现EasyRealM目录下,跑起了一个名称为1的进程,也没用它安装realm,今天突然发现多了一个叫1的进程,监听了我的2019端口,目录里面也多了一个名称为1的可执行文件,如下图:

202305102325027.png

202305102323754.png

202305102327599.png尝试运行了一下那个文件:

202305102331534.png

可能原因

有坛友指出,也许就是realm本身:

目测这个1就是realm,如果是几MB的话那肯定就是了,GO屙出来的东西又臃又肿

小白去看了下大小,有12M,感觉不像……

202305102347122.png

求助大佬

小白去询问了两位大佬,大佬的分析如下:

这是1这个可执行文件的日志:

ip: 10.0.4.1/29, web: http://10.0.4.2:80, mode: web

看起来,监听了一个内网端口,起了一个内网80的web页面,可是他监听一个内网端口又啥用呢?另一位大佬一语点醒梦中人:

那就只有可能是ssh被爆破了,不然不可能平白无故多了一个可执行文件,然后查看了一下ssh登录记录,果然……寄……

然后看了一下,登录日期,去年的十月份,就被爆破了……

一点猜测

对方貌似是先爆破了我的一台机器,然后和我的另外几台机器组类似于TUN内网,通过TUN出去的……我不知道对方目的是啥……下面是我找到的几个登录IP:

大佬,潜伏了好几个月了,小白我感谢大佬的不杀之恩,真的……

关于那个进程,小白不知道是用来干啥的……待会我会把可执行文件和日志放在文章结尾,各位懂得大佬,可以自行研究。

反思

放弃密码登录,改用密钥登录,不要用默认22端口,还有保护好自己的私钥……

附件

可执行文件:

https://yun.vpsxb.net/download/1

日志(其中x.x.x.x为我自己的IP,其他IP为未知IP):

https://yun.vpsxb.net/download/log

还望大佬不吝赐教。


VPS小白 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:记一次ssh被爆破与反思
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 还好及时发现,这就去看看自己的服务器有没有中招
    caicai2023-05-11 13:43 回复