建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录，只允许公钥登录

2019-06-11 10:01:20 +08:00

qwerthhusn

之前看到 SSH 好像被异地登录，netstat 和 ps 去看，有一些奇怪的东西，然后一扫就这样了。现在正在看怎么杀。

/tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/meonga: Unix.Trojan.Agent-37008 FOUND
/tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
/usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
/usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
/usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
/usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
/usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
/usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
/usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND

12418 次点击

所在节点

Linux

75 条回复

pxw2002

2019-06-11 11:40:05 +08:00

还有个办法
linux 换成 3389
win 换成 22
这样就好多了
就算发送登录请求也没用

qwerthhusn

2019-06-11 11:45:17 +08:00

@pxw2002 Good idea

playnoa

2019-06-11 11:48:50 +08:00

只允许秘钥登录，加上 fail2ban，一次不对就永久封 IP

ohmyzsh

2019-06-11 12:11:21 +08:00

@pxw2002 为什么换 3389 就可以了？

crazytroll

2019-06-11 12:18:41 +08:00

@msg7086 非常同意 fail2ban 挂上再换个端口

Rworld

2019-06-11 12:20:11 +08:00

有固定 IP 就防火墙限制没有就使用 google 二次验证吧。

anubu

2019-06-11 12:24:02 +08:00

常规操作：
换端口；
禁止 root 登录；
fail2ban

安全且方便：
密码+MFA

更安全：
有密码的密钥

可选：
如果可能，限制登录 IP

sariya

2019-06-11 12:38:00 +08:00

如果要求不高如楼上说的，换高位端口足矣，我的换了之后直接从几万降到 0。。。有需要再加上 RSA、禁密码

sariya

2019-06-11 12:38:45 +08:00

@sariya 当然密码还是不能太短

Wyane

2019-06-11 12:42:29 +08:00

学习一下，一直没把这个当回事，密码一直用的最简单的。。

Vegetable

2019-06-11 12:44:23 +08:00

@pxw2002 鬼才

mmtromsb456

2019-06-11 12:47:25 +08:00

其实使用

wtks1

2019-06-11 12:50:17 +08:00

fail2ban 装上，设置最大失败两次，一分钟扫描一次，封禁时间十几年，基本就没啥事了

mmtromsb456

2019-06-11 12:50:47 +08:00

@mmtromsb456 #32 手快一下子发出去了...
其实使用如下参数就已经很足够了
PermitRootLogin prohibit-password
Port 8888(替换成你想要的端口)
必要时 whitelist 即可

azh7138m

2019-06-11 12:55:49 +08:00

走跳板姬呗，我买了一台阿里云华东，装好 mosh，每台机器都配跳板姬的密钥登录，我只要登录跳板姬就好，美滋滋。
当然，22 我是不开的。

jiqing

2019-06-11 13:04:23 +08:00

@azh7138m #35 我也是这么操作的

wenzhoou

2019-06-11 13:28:24 +08:00

另外禁止 root 登录基本上是常识。

realpg

2019-06-11 13:39:24 +08:00

这还用建议？
首先，不用 root 是常识了吧 ubuntu 之类的发行版压根就不给你 root 密码，都是自己 zuo 才能弄出来
其次，服务器的任何密码都得设复杂点也是常识把
再次，服务器 ssh 不放默认端口上就能减少大量网络流量和 CPU 负载开销也算是个准常识了吧

Navee

2019-06-11 13:50:34 +08:00

开机第一件事：安装 fail2ban

qwerthhusn

2019-06-11 14:12:19 +08:00

@azh7138m 用跳板机的话有一个小问题就是，SFTP 操作比较麻烦

第 2 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/572706

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录， 只允许公钥登录

建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录，只允许公钥登录