现在爆破狗那么凶了吗？会爆破非22端口了？

mymyhope

KS3C开了个小鸡，里面跑网站。然后昨天突然提示我hacked，然后说对外发包。心想肯定是母鸡被爆了，以后要密码再复杂一点，不能那么随意了。
好，我100G的镜像ftp出来，重装系统。在各种操作之前都还一切正常。等到恢复镜像的时候，才恢复了两分钟，里面又说我对外发包又被封了。
莫名其妙啊。现在爆破狗们都全端口扫了么？

最后结果：小鸡用了比较傻的密码组合（xxx1234这样）镜像被破，结果还原之后一启动又开始搞事情导致的发包。
小鸡上只安装了Vestacp，ssh日志有登陆成功记录。
既然被大佬教育了，那么具体是vestacp的锅还是被爆开了，我就不知道了。

在出现此问题前这台机器正常运行了3个月。

hdown

你这种情况根本不是被扫了。那些所谓的爆破，其实只会扫描很少的弱口令。只要你不是弱口令，就没有被爆破的可能。因为它们根本不会去尝试复杂密码。你以为他遍历所有密码组合？自己算算那是什么数量级吧。

你这应该是被使用漏洞入侵，或者是机器上安装的软件后门。

下次不要搞不清情况就随便得一个结论开始喷了。看得人很尴尬

Carseason

你都被爆破了还恢复镜像

king51

密钥登陆吧，我的小鸡都是密钥登陆

hxuf

拿到小鸡第一时间改端口设置复杂密码。

tomcb

密钥登陆，关掉密码登陆。

callmefeifei

对外发包，你定位下发包程序 进程，看下进程名字，我在某鸡场买的站群就是莫名其妙新开的有几个机器就自动发包，肯定是js弄到镜像包了，再不买他家的了。

mymyhope

hdown 发表于 2018-4-8 21:14
你这种情况根本不是被扫了。那些所谓的爆破，其实只会扫描很少的弱口令。只要你不是弱口令，就没有被爆破的 ...

确实是弱口令。三个小写字母四个数字（xxx1234这样） 小鸡转发出来的端口没考虑到。现在第二次断网恢复镜像后，我看了日志确实是被登陆成功了，确实有扫非22端口的情况出现。看来我们两个都挺搞笑的。

mymyhope

bob1987 发表于 2018-4-8 21:38
你安装的东西有后门，否则不会2分钟就被爆破，而且还不是撞库，也不是爆破 ...

是我估计错误。肯定是爆破开了小鸡，然后在里面搞了事情之后，被我一恢复又开始搞事情了。宿主鸡没被破开。也是神奇。