这是一个创建于 1447 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先我是个这方面的新手,可能很多问题问得不恰当。我最近开始关注服务的安全的问题,然后用 lastb 去查看了被拒绝的尝试,但是我发现里面的 IP 都来自于 127.0.0.1,难道是我的服务器已经被攻陷了吗?
louisa ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
root ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
louisa ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
abuse ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
lee ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
abuse ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
lee ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
root ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
dpu ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
dpu ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
geoserve ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
geoserve ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
xml ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
xml ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00)
我的服务器是通过了路由器进行端口转发的。路由器转发的端口是一个不常用的端口。然后这台服务器是在实验室的一个局域网内的。看着也不像是被实验室内其他电脑在尝试破解。
 |
1
LnTrx 2020-05-03 17:14:27 +08:00  1
端口转发可能会改变 IP source 为路由器自己
DMZ 一般不会 |
 |
2
msg7086 2020-05-03 22:04:47 +08:00 1
看上去是通过你服务器上运行的服务,本地连接 SSH 撸密码。
|
 |
3
abseilair OP @talarax7 嗯。 我感觉应该也是不会改变 IP 的,我查了一下 `/var/log/auth.log` 看到成功访问的 IP 都是正常的。
|
|
5
msg7086 2020-05-04 11:09:17 +08:00 via Android
@abseilair 应该是还没有完全被破,所以才在试你的密码。应该是运行的某个低权限程序有洞,现在在尝试提权。
|
 |
6
eastern 2020-05-04 12:06:23 +08:00
家里用 frp 映射出去被扫也是 127.0.0.1 的条目
|
|
8
abseilair OP @eastern 嗯,感觉暂时也没有 google 到相同的问题。只能先临时把 localhost 给禁了。我得再去看看局域网相关的知识
|
 |
9
Vanes 2022-03-02 19:34:59 +08:00
所以最后怎么解决的呀?能找出本地的哪个程序在攻击么?
|
Select Language