我的服务器是公共厕所

2021-01-01 19:40:58 +08:00
 1mayi

用了 google cloud 以后 cpu 过一段时间就会飙升一次,一直很纳闷。 以前从来没看过 nginx 日志,今天一看惊呆了,有不停换 ip 尝试登陆的,有尝试获取 phpmyadmin 地址的。 仅仅一天的日志 90%以上都是各种使坏的。

135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:50:05 +0000] "GET /?/phpmyadmin HTTP/1.1" 200 6487 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:51:03 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:51:06 +0000] "GET /phpmyadmin HTTP/1.1" 301 5 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
135.181.10.248 - - [01/Jan/2021:02:51:07 +0000] "GET /phpmyadmin HTTP/1.1" 404 3422 "https://gotomorrow.dev:443/phpmyadmin" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /myadmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysql HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:24 +0000] "GET /mysqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /db HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:25 +0000] "GET /sqladmin HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /pma HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:26 +0000] "GET /phpmy HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"
85.114.138.138 - - [01/Jan/2021:02:52:27 +0000] "GET /phpmanager HTTP/1.1" 404 3422 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36"

13.233.145.199 - - [01/Jan/2021:04:28:59 +0000] "GET /zh/wp-login.php HTTP/1.1" 200 2749 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
13.233.145.199 - - [01/Jan/2021:04:29:13 +0000] "POST /zh/wp-login.php HTTP/1.1" 200 2873 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
13.233.145.199 - - [01/Jan/2021:04:29:23 +0000] "POST /zh/xmlrpc.php HTTP/1.1" 200 412 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
10406 次点击
所在节点    NGINX
53 条回复
iXingo
2021-01-01 19:44:14 +08:00
正常,我也是。而且我在 /var/log/auth.log 上面还看到每天都有人在暴力破解 ssh 登录 :(
kidlj
2021-01-01 19:44:32 +08:00
第一天用服务器?

sudo cat /var/log/secure 有更多惊喜。
codehz
2021-01-01 19:44:40 +08:00
坐下,基本操作。
是个 web 服务器都会有这种自动化扫描的
LnTrx
2021-01-01 19:44:59 +08:00
开放 IP 直接访问 80 的的话都是这样,毕竟为了各种原因把有效的公网 IPv4 全扫一遍在时间上是可行的。
Ptu2sha
2021-01-01 20:22:21 +08:00
。。还是太年轻 等你手里有一堆服务器 看日志就不奇怪了
甚至可以写规则逗逗这些扫描器
yanzhiling2001
2021-01-01 20:35:24 +08:00
被扫这种事,习惯就好了,就像是你开了一个门头,不断有人进出,也有不怀好意的人盯着
WIAIHE
2021-01-01 20:37:27 +08:00
我把博客的 admin 重定向到了 p*o*r*n*h*u*b,然后把 admin 移动到 /awadjaudhiuhfaofhOEHefhiuHSD/admin
paperseller
2021-01-01 20:45:23 +08:00
@kidlj 使用这行命令看到今早 7:19 至 7:32 有异常的登录尝试,本人当时还在睡觉。看起来登录成功了?
Jan 1 07:27:42 107 sshd[8378]: Accepted publickey for root from xxx.xxx.xxx.xxx port xxxxx ssh2: RSA SHA256:....
再看到 root 目录多了一个名为 virt-sysprep-firstboot.log 的日志文件,查看日志存在一个 /usr/lib/virt-sysprep 的文件夹以及子目录有 sh 文件和空的 scripts 文件夹。但是我开了私钥登录而且关闭了密码登录,这还是被入侵了?
kidlj
2021-01-01 21:07:57 +08:00
@paperseller "Accepted publickey for root" 就是代表 root 登录成功了,但不代表是被攻击了,可能是自己登录的。另外搜索了一下 virt-sysprep-firstboot.log 文件,似乎是 RH 的自带日志。
paperseller
2021-01-01 21:17:12 +08:00
@kidlj 非常感谢。看了下登录的 ip,应该是自己另一个住址的 ip,然后搜索了下 virt-sysprep,跟 kvm 虚拟机备份克隆有关。可能是虚惊一场。
Yien
2021-01-01 21:18:35 +08:00
gcp 不都是 sshkey 登入吗?
YouLMAO
2021-01-01 21:21:07 +08:00
服务器时间并非北京的时间,可能是巴拿马的
opengps
2021-01-01 21:22:04 +08:00
习惯就好,这就是真实的公网环境
helloworld000
2021-01-01 21:35:44 +08:00
关闭 ssh root 和密码登陆,只用 public key 登陆会安全很多
liuqi0270
2021-01-01 21:40:11 +08:00
我都不敢看日志。哈哈
matrix67
2021-01-01 21:43:19 +08:00
1. 改端口
2. 安全组白名单
oreoiot
2021-01-01 21:44:36 +08:00
我之前白嫖的良心云端云主机,不知道有没有成为人的肉鸡干过坏事,到期后果断没有续。没有安全意识我还是不要搞的好。
我的 Windows 远程桌面口令很弱,估计都被破解好几轮了,目前没发现异常也没有管。
yfwl
2021-01-01 21:53:37 +08:00
很正常的啊 哈哈
zszhere
2021-01-01 21:57:29 +08:00
这很正常 僵尸网络主机的常规操作 批量爆破 批量打 exp
icreeper
2021-01-01 22:08:11 +08:00
很正常,我就是把 22 关了还有人试我 22 端口

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/740924

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX