建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录，只允许公钥登录

2019-06-11 10:01:20 +08:00

qwerthhusn

之前看到 SSH 好像被异地登录，netstat 和 ps 去看，有一些奇怪的东西，然后一扫就这样了。现在正在看怎么杀。

/tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/meonga: Unix.Trojan.Agent-37008 FOUND
/tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
/usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
/usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
/usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
/usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
/usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
/usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
/usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND

12431 次点击

所在节点

Linux

75 条回复

Cu635

2019-06-11 14:13:38 +08:00

@playnoa
哪天自己密码忘了……

qwerthhusn

2019-06-11 14:14:43 +08:00

@ohmyzsh 因为 3389 是 win 默认的远程桌面端口，肉鸡扫到 3389 可用，可能就试图连 Windows 那一套，肯定连不上的，殊不知其实是个 ssh 端口

yinzhuoqun

2019-06-11 14:15:00 +08:00

@wenzhoou 端口换掉，再加 fail2ban，基本没有可疑登录

catcalse

2019-06-11 14:42:27 +08:00

@qwerthhusn 自己欺骗自己吗？

liangzi

2019-06-11 14:50:58 +08:00

曾经遇到过可疑登录 IP 地址指向国内两大云服务商只有一个来自美国我就呵呵了

oxoxoxox

2019-06-11 14:59:17 +08:00

换端口+fail2ban，就足够了，即使打开密码登陆，也不怕

wenzhoou

2019-06-11 15:11:27 +08:00

@yinzhuoqun 如果说要加一个屏障的话，我希望是 2FA。

nicevar

2019-06-11 15:15:51 +08:00

光密码复杂有什么用，你得限制登陆尝试次数
另外你改 3389 的做法其实也是掩耳盗铃，真的骗你自己，就算小白 telnet 一下都能识别

ucaime

2019-06-11 15:45:33 +08:00

https://hackertarget.com/ssh-two-factor-google-authenticator/
二次验证还可以啊

mostkia

2019-06-11 15:53:00 +08:00

@pxw2002
win：蒋英语！
linux：蒋国语！
入侵者：猝

qwerthhusn

2019-06-11 16:48:43 +08:00

@ucaime 国内有什么厂家能搞这种吗？因为 server 在国内，我刚搜了一下，没有什么

aborigine

2019-06-11 17:07:21 +08:00

其实一般换个端口就好很多了

xpresslink

2019-06-11 17:13:43 +08:00

一般情况下 SSH 端口号都是换成 5 位数，直接用 IP 白名单+公钥又省事又安全。
再严格一点加个谷歌双因子认证也就足够了。

ETO

2019-06-11 17:52:58 +08:00

@mostkia 还有蒋芳研，啥的呢

fvckDaybyte2

2019-06-11 17:57:35 +08:00

@qwerthhusn 现在端口扫描都带检测服务功能了……

olaloong

2019-06-11 18:59:48 +08:00

@pxw2002 哈哈，我一直都是这么干的

andylsr

2019-06-11 19:12:14 +08:00

@mostkia 改端口，扫不到了也就不会爆破了

webshe11

2019-06-11 19:17:09 +08:00

换端口 + 只允许密钥登录 + fail2ban 路过

Hardrain

2019-06-11 19:42:35 +08:00

赞同所有用 Pub key(并停用键盘交互)的回复
如果用 Google authenticator 之类的 TFA 则更好

反对一切改端口的回复，这是没用的方法。防得了大批量扫描，完全不能防御具有针对性的攻击

h175h32

2019-06-11 22:04:19 +08:00

@pxw2002 你这个办法不错

第 3 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/572706

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录， 只允许公钥登录

建议大家 SSH 密码还是设复杂点吧，或者关闭密码登录，只允许公钥登录