之前看到 SSH 好像被异地登录,netstat 和 ps 去看,有一些奇怪的东西,然后一扫就这样了。现在正在看怎么杀。
/tmp/min: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/vTtHH1: Multios.Coinminer.Miner-6781728-2 FOUND
/tmp/meonga: Unix.Trojan.Agent-37008 FOUND
/tmp/disable: Unix.Malware.Agent-6964935-0 FOUND
/usr/bin/ps: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphefa0: Unix.Malware.Agent-6958219-0 FOUND
/usr/bin/chgf: Unix.Trojan.Agent-37008 FOUND
/usr/bin/vphebce: Unix.Malware.Agent-6936468-0 FOUND
/usr/bin/vphefa2: Unix.Malware.Agent-6963626-0 FOUND
/usr/bin/vphefa3: Unix.Malware.Agent-6967124-0 FOUND
/usr/bin/masscan: Unix.Malware.Agent-6889450-0 FOUND
/usr/bin/ti0bjinogi: Unix.Malware.Agent-6684905-0 FOUND
/usr/bin/netstat: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/lsof: Unix.Trojan.Agent-37008 FOUND
/usr/sbin/ss: Unix.Trojan.Agent-37008 FOUND
trojan?
一直都是禁止密码登录的,但是否足够?
我用的 google 二次验证
+1
google 二次验证是什么意思
怎么杀?重装就杀了。
如果不关密码登录的话,那至少把 fail2ban 装上吧。
应该没问题吧,只要控制好私钥别泄露就行。比如别人问你要 Key 让你能登他的,你别把公钥和私钥都给他就行。我看现在推荐的是 ED25519 256 位的密钥,不过大部分人(包括我)还是在用那种 RSA2048 位的。
要干净的话,那就重装系统呗,恨不得格盘重建 RAID,幸亏里面没太多数据,而且都是容器好备份迁移。
家里公网 ip 只有后三位会变
服务器只允许我的 ip 访问所有端口
其他 ip 只允许 80.443 端口
量子计算没取得重大突破之前,强密码口令就 ok,暴力破解是极其困难的
换端口,关密码,还可以考虑只通过代理访问(
看看是不是系统安装的软件程序存在其他漏洞
libpam-google-authenticator 在机器上装一个组件,配置上 Google 认证信息,然后登录的时候去 Google 验证一把(通过手机什么的)。这种只能用在个人的在国外的服务器。。。。我猜的
我一直图方便没有关密码登录,每次登陆都有上万的爆破记录。。
密码的话 18 位密码。。[狗头]所以还是大致放心的。从 ssh 爆破基本没什么可能性。
我只允许 key + 2FA 登录,并且开 fail2ban。
经过一层 VPN 后只允许密钥登陆
每次登录都能发现几万次的失败的登录尝试
换了 ssh 端口
降低到了几十次非法尝试
大部分肉鸡只看 22,不过也有一些肉鸡是玩端口扫面的。我之前也遇到过
换端口;
密钥加强再加密登录;
禁止账户密码登录;
因为不是固定 IP,不然我就仅限指定 IP 了。
自从我换了 ssh 端口了以后就再也没有被爆破过。
结论,换端口足够了。
还有个办法
linux 换成 3389
win 换成 22
这样就好多了
就算发送登录请求也没用
Good idea
只允许秘钥登录,加上 fail2ban,一次不对就永久封 IP
为什么换 3389 就可以了?
非常同意 fail2ban 挂上 再换个端口
有固定 IP 就防火墙限制 没有就使用 google 二次验证吧。
常规操作:
换端口;
禁止 root 登录;
fail2ban
安全且方便:
密码+MFA
更安全:
有密码的密钥
可选:
如果可能,限制登录 IP
如果要求不高如楼上说的,换高位端口足矣,我的换了之后直接从几万降到 0。。。有需要再加上 RSA、禁密码
当然密码还是不能太短
学习一下, 一直没把这个当回事,密码一直用的最简单的。。
鬼才
其实使用
fail2ban 装上,设置最大失败两次,一分钟扫描一次,封禁时间十几年,基本就没啥事了
手快一下子发出去了...
其实使用如下参数就已经很足够了
PermitRootLogin prohibit-password
Port 8888(替换成你想要的端口)
必要时 whitelist 即可
走跳板姬呗,我买了一台阿里云华东,装好 mosh,每台机器都配跳板姬的密钥登录,我只要登录跳板姬就好,美滋滋。
当然,22 我是不开的。
我也是这么操作的
另外禁止 root 登录基本上是常识。
这还用建议?
首先,不用 root 是常识了吧 ubuntu 之类的发行版 压根就不给你 root 密码,都是自己 zuo 才能弄出来
其次,服务器的任何密码都得设复杂点也是常识把
再次,服务器 ssh 不放默认端口上就能减少大量网络流量和 CPU 负载开销也算是个准常识了吧
开机第一件事:安装 fail2ban
用跳板机的话有一个小问题就是,SFTP 操作比较麻烦
哪天自己密码忘了……
因为 3389 是 win 默认的远程桌面端口,肉鸡扫到 3389 可用,可能就试图连 Windows 那一套,肯定连不上的,殊不知其实是个 ssh 端口
端口换掉,再加 fail2ban,基本没有可疑登录
自己欺骗自己吗?
曾经遇到过可疑登录 IP 地址指向国内两大云服务商 只有一个来自美国 我就呵呵了
换端口+fail2ban,就足够了,即使打开密码登陆,也不怕
如果说要加一个屏障的话,我希望是 2FA。
光密码复杂有什么用,你得限制登陆尝试次数
另外你改 3389 的做法其实也是掩耳盗铃,真的骗你自己,就算小白 telnet 一下都能识别
https://hackertarget.com/ssh-two-factor-google-authenticator/
二次验证还可以啊
win:蒋英语!
linux:蒋国语!
入侵者:猝
国内有什么厂家能搞这种吗?因为 server 在国内,我刚搜了一下,没有什么
其实一般换个端口就好很多了
一般情况下 SSH 端口号都是换成 5 位数,直接用 IP 白名单+公钥又省事又安全。
再严格一点加个谷歌双因子认证也就足够了。
还有蒋芳研,啥的呢
现在端口扫描都带检测服务功能了……
哈哈,我一直都是这么干的
改端口,扫不到了也就不会爆破了
换端口 + 只允许密钥登录 + fail2ban 路过
赞同所有用 Pub key(并停用键盘交互)的回复
如果用 Google authenticator 之类的 TFA 则更好
反对一切改端口的回复,这是没用的方法。防得了大批量扫描,完全不能防御具有针对性的攻击
你这个办法不错
一般是部署 ssl 加密代理在上面进行访问,密钥一都要都在 2048 以上,绝不开放 ssh 端口,暴力破解 ssh 虽然破解不了强口令和密钥,但是被恶意的暴力破解特别占 cpu,浪费资源。
我用的 Krypton,禁止密码 + 手机端允许密钥才能连上。
上面那些说 linux 换成 3389 的太天真了,还有一堆人赞成这个做法,你不做其他处理是个端口扫描程序根据返回信息就能判断出来你是不是 ssh
666
假装自己是 rdp 服务
系统刚装好就屏蔽密码登录了,只允许 key 登录。
sudo 回提升提示密码,如果机器不长登录的话,那么一些重要信息应该记笔记
新建一个和 root 一样权限的账户然后把 root 账户登陆禁用掉
好像没用的,nmap 可以探测系统版本的吧
请问家里怎么申请公网 ip 呢
我当时给电信客服打电话,说我家里有老人,小孩儿需要安装远程监控,需要公网 IP 连接,然后就给了
这个是“借口”还是真的?我家用的 360 摄像机,没有公网也能正常用啊
其实已经是还没过去几年的事情了,稍微旧一点的这种家庭监控设备就需要公网 ip 才能正常运作。现在没有公网 ip 也能正常用的消费级家庭监控设备是很新的。
一般认为不应该记密码……
随便什么服务器都可以用,Google Authenticator 是纯离线的动态密码,完全不需要连接 Google 服务。
ssh,scp,sftp 都有一个-o ProxyJump=
@:的参数可以跨越跳板机,还可以通过编写.ssh/config 文件自动跨越多层跳板机,并不麻烦。如果是使用 Windows 上的各种 GUI 客户端,里面一般也会有填写 Gateway host/Jump host 的地方。