全球主机交流论坛

标题: 现在爆破狗那么凶了吗？会爆破非22端口了？ [打印本页]

作者: mymyhope 时间: 2018-4-8 20:57
标题: 现在爆破狗那么凶了吗？会爆破非22端口了？
本帖最后由 mymyhope 于 2018-4-8 23:32 编辑

KS3C开了个小鸡，里面跑网站。然后昨天突然提示我hacked，然后说对外发包。心想肯定是母鸡被爆了，以后要密码再复杂一点，不能那么随意了。
好，我100G的镜像ftp出来，重装系统。在各种操作之前都还一切正常。等到恢复镜像的时候，才恢复了两分钟，里面又说我对外发包又被封了。
莫名其妙啊。现在爆破狗们都全端口扫了么？

最后结果：小鸡用了比较傻的密码组合（xxx1234这样）镜像被破，结果还原之后一启动又开始搞事情导致的发包。
小鸡上只安装了Vestacp，ssh日志有登陆成功记录。
既然被大佬教育了，那么具体是vestacp的锅还是被爆开了，我就不知道了。

在出现此问题前这台机器正常运行了3个月。

作者: Carseason 时间: 2018-4-8 21:03
你都被爆破了还恢复镜像

作者: king51 时间: 2018-4-8 21:06

密钥登陆吧，我的小鸡都是密钥登陆

作者: hxuf 时间: 2018-4-8 21:07
拿到小鸡第一时间改端口设置复杂密码。

作者: hdown 时间: 2018-4-8 21:14
你这种情况根本不是被扫了。那些所谓的爆破，其实只会扫描很少的弱口令。只要你不是弱口令，就没有被爆破的可能。因为它们根本不会去尝试复杂密码。你以为他遍历所有密码组合？自己算算那是什么数量级吧。

你这应该是被使用漏洞入侵，或者是机器上安装的软件后门。

下次不要搞不清情况就随便得一个结论开始喷了。看得人很尴尬

作者: tomcb 时间: 2018-4-8 21:34
密钥登陆，关掉密码登陆。

作者: bob1987 时间: 2018-4-8 21:38
提示: 作者被禁止或删除内容自动屏蔽

作者: callmefeifei 时间: 2018-4-8 21:42
对外发包，你定位下发包程序进程，看下进程名字，我在某鸡场买的站群就是莫名其妙新开的有几个机器就自动发包，肯定是js弄到镜像包了，再不买他家的了。

作者: mymyhope 时间: 2018-4-8 23:26

hdown 发表于 2018-4-8 21:14
你这种情况根本不是被扫了。那些所谓的爆破，其实只会扫描很少的弱口令。只要你不是弱口令，就没有被爆破的 ...

确实是弱口令。三个小写字母四个数字（xxx1234这样）小鸡转发出来的端口没考虑到。现在第二次断网恢复镜像后，我看了日志确实是被登陆成功了，确实有扫非22端口的情况出现。看来我们两个都挺搞笑的。

作者: mymyhope 时间: 2018-4-8 23:28

bob1987 发表于 2018-4-8 21:38
你安装的东西有后门，否则不会2分钟就被爆破，而且还不是撞库，也不是爆破 ...

是我估计错误。肯定是爆破开了小鸡，然后在里面搞了事情之后，被我一恢复又开始搞事情了。宿主鸡没被破开。也是神奇。

作者: 坐怀不乱西门庆 时间: 2018-4-8 23:28
22弱口令你言屌

作者: beixiaoqian 时间: 2018-4-8 23:33
没试过你这种情况，改复杂端口/密码一直稳定

作者: bbqbbqtt 时间: 2018-4-8 23:36
现在都是这样的，如果你的端口是通的，例如3389.直接几十上百万的跑字典**的。

作者: 安之若素 时间: 2018-4-8 23:45
vestacp有漏洞，https://www.lowendtalk.com/discussion/141728/vestacp-possibly-hit-with-zeroday-exploit

作者: 左手写爱 时间: 2018-4-9 09:23
zxcvb123 这个密码吗

欢迎光临全球主机交流论坛 (https://ddzzz.eu.org/)