m*d
2 楼
每次的端口还不一样,这是什么后门程序?
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 0 192.168.1.146:ssh 60.12.109.16:54709
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 0 192.168.1.146:ssh 60.12.109.16:40794
ESTABLISHED
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
tcp 0 0 192.168.1.146:ssh 60.12.109.16:54709
ESTABLISHED
[email protected]/* */:~# netstat |grep ssh
tcp 0 0 192.168.1.146:ssh 60.12.109.16:40794
ESTABLISHED
tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
F*u
3 楼
search app也没找到,咋回事?
d*o
4 楼
能的,交上去被audit或者批了才要签字的
给个包子不,谢谢
给个包子不,谢谢
m*d
5 楼
原来是有人在试密码
Nov 27 14:30:51 debian sshd[31165]: Failed password for invalid user downloa
d from 60.12.109.16 port 33426 ssh2
Nov 27 14:30:51 debian sshd[31165]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:52 debian sshd[31169]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:53 debian sshd[31169]: Invalid user download from 60.12.109.16
Nov 27 14:30:53 debian sshd[31169]: input_userauth_request: invalid user dow
nload [preauth]
Nov 27 14:30:53 debian sshd[31169]: pam_unix(sshd:auth): check pass; user un
known
Nov 27 14:30:53 debian sshd[31169]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.12.109.16
Nov 27 14:30:56 debian sshd[31169]: Failed password for invalid user downloa
d from 60.12.109.16 port 34099 ssh2
Nov 27 14:30:56 debian sshd[31169]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:56 debian sshd[31179]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:57 debian sshd[31179]: Invalid user download from 60.12.109.16
Nov 27 14:30:57 debian sshd[31179]: input_userauth_request: invalid user dow
nload [preauth]
Nov 27 14:30:57 debian sshd[31179]: pam_unix(sshd:auth): check pass; user un
known
Nov 27 14:30:57 debian sshd[31179]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.12.109.16
Nov 27 14:30:58 debian sshd[31183]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:59 debian sshd[31179]: Failed password for invalid user downloa
d from 60.12.109.16 port 34842 ssh2
Nov 27 14:30:59 debian sshd[31179]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:59 debian sshd[31186]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:31:00 debian sshd[31183]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.73 user=root
【在 m*d 的大作中提到】
: 每次的端口还不一样,这是什么后门程序?
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
Nov 27 14:30:51 debian sshd[31165]: Failed password for invalid user downloa
d from 60.12.109.16 port 33426 ssh2
Nov 27 14:30:51 debian sshd[31165]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:52 debian sshd[31169]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:53 debian sshd[31169]: Invalid user download from 60.12.109.16
Nov 27 14:30:53 debian sshd[31169]: input_userauth_request: invalid user dow
nload [preauth]
Nov 27 14:30:53 debian sshd[31169]: pam_unix(sshd:auth): check pass; user un
known
Nov 27 14:30:53 debian sshd[31169]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.12.109.16
Nov 27 14:30:56 debian sshd[31169]: Failed password for invalid user downloa
d from 60.12.109.16 port 34099 ssh2
Nov 27 14:30:56 debian sshd[31169]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:56 debian sshd[31179]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:57 debian sshd[31179]: Invalid user download from 60.12.109.16
Nov 27 14:30:57 debian sshd[31179]: input_userauth_request: invalid user dow
nload [preauth]
Nov 27 14:30:57 debian sshd[31179]: pam_unix(sshd:auth): check pass; user un
known
Nov 27 14:30:57 debian sshd[31179]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.12.109.16
Nov 27 14:30:58 debian sshd[31183]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:30:59 debian sshd[31179]: Failed password for invalid user downloa
d from 60.12.109.16 port 34842 ssh2
Nov 27 14:30:59 debian sshd[31179]: Received disconnect from 60.12.109.16: 1
1: Bye Bye [preauth]
Nov 27 14:30:59 debian sshd[31186]: warning: /etc/hosts.allow, line 13: miss
ing ":" separator
Nov 27 14:31:00 debian sshd[31183]: pam_unix(sshd:auth): authentication fail
ure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.229.172.73 user=root
【在 m*d 的大作中提到】
: 每次的端口还不一样,这是什么后门程序?
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
a*1
6 楼
重新装一遍?你search Excel什么都没有出来吗?
h*6
7 楼
真的吗?
别吓俺,最近回国了一次,有了新的I-94,律师手里是俺老的I-94,不知道律师是不是已
经递出去了,完蛋了。。。。。
别吓俺,最近回国了一次,有了新的I-94,律师手里是俺老的I-94,不知道律师是不是已
经递出去了,完蛋了。。。。。
z*e
8 楼
这个ip在我的adblock list上
地址在浙江
有点蹊跷
【在 m*d 的大作中提到】
: 每次的端口还不一样,这是什么后门程序?
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
地址在浙江
有点蹊跷
【在 m*d 的大作中提到】
: 每次的端口还不一样,这是什么后门程序?
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 39 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
: tcp 0 52 192.168.1.146:ssh PC:54877 ESTABLISHED
: tcp 0 0 192.168.1.146:ssh 60.12.109.16:54023
: ESTABLISHED
: [email protected]/* */:~# netstat |grep ssh
F*u
9 楼
谢谢,刚才看到了这些xx 2013的图标,结果看成了2003,还在想为什么我机器上装着这
么老的软件
【在 a******1 的大作中提到】
: 重新装一遍?你search Excel什么都没有出来吗?
么老的软件
【在 a******1 的大作中提到】
: 重新装一遍?你search Excel什么都没有出来吗?
d*o
10 楼
真的
那你跟你律师说,可能还没交上去呢
不过交了也没关系,提交140的时候用新的就行
那你跟你律师说,可能还没交上去呢
不过交了也没关系,提交140的时候用新的就行
m*d
11 楼
我在router上用iptables block了
iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
为什么在debian上还能看到
【在 z*********e 的大作中提到】
: 这个ip在我的adblock list上
: 地址在浙江
: 有点蹊跷
iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
为什么在debian上还能看到
【在 z*********e 的大作中提到】
: 这个ip在我的adblock list上
: 地址在浙江
: 有点蹊跷
j*a
12 楼
FORWARD chain, not INPUT chain.
【在 m*d 的大作中提到】
: 我在router上用iptables block了
: iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
: 为什么在debian上还能看到
【在 m*d 的大作中提到】
: 我在router上用iptables block了
: iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
: 为什么在debian上还能看到
z*e
13 楼
试试
iptables -A INPUT -s 60.12.109.16 -p tcp --dport ssh -j DROP
?
iptables -A INPUT -s 60.12.109.16 -p tcp --dport ssh -j DROP
?
p*o
14 楼
装个fail2ban自动block把。
【在 m*d 的大作中提到】
: 我在router上用iptables block了
: iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
: 为什么在debian上还能看到
【在 m*d 的大作中提到】
: 我在router上用iptables block了
: iptables -A INPUT -s 60.12.109.16 -p tcp --destination-port 22 -j DROP
: 为什么在debian上还能看到
F*Q
15 楼
these are zombies infected by backdoor programs, not from actual person.
banning that IP is not helpful because you will soon find other IPs trying
the same thing.
make sure you disable remote root access, by setting PermitRootLogin to no
in sshd_config (of course, make your account sudoer first), then
sudo /etc/init.d/sshd restart
you can also install tripwire to automatically disable intruders after
failed passwords
https://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-
detect-server-intrusions-on-an-ubuntu-vps
【在 m*d 的大作中提到】
: 原来是有人在试密码
: Nov 27 14:30:51 debian sshd[31165]: Failed password for invalid user downloa
: d from 60.12.109.16 port 33426 ssh2
: Nov 27 14:30:51 debian sshd[31165]: Received disconnect from 60.12.109.16: 1
: 1: Bye Bye [preauth]
: Nov 27 14:30:52 debian sshd[31169]: warning: /etc/hosts.allow, line 13: miss
: ing ":" separator
: Nov 27 14:30:53 debian sshd[31169]: Invalid user download from 60.12.109.16
: Nov 27 14:30:53 debian sshd[31169]: input_userauth_request: invalid user dow
: nload [preauth]
z*e
16 楼
也可以换ssh key-based auth,这个应该非常安全
m*d
17 楼
装了ipset的脚本,这下清净了
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset
【在 z*********e 的大作中提到】
: 也可以换ssh key-based auth,这个应该非常安全
https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset
【在 z*********e 的大作中提到】
: 也可以换ssh key-based auth,这个应该非常安全
c*n
18 楼
这个加上ban2fail再加上那个自动装安全补丁的unattended upgrades 基本上不用管了
ufw我都觉得不是非常必要
【在 z*********e 的大作中提到】
: 也可以换ssh key-based auth,这个应该非常安全
ufw我都觉得不是非常必要
【在 z*********e 的大作中提到】
: 也可以换ssh key-based auth,这个应该非常安全
相关阅读
版上有无纽约州朋友?还是android的板子好用 (转载)Honor8美国版居然不是双卡双待moto z force怎么样?有入手的吗?来推荐个手机吧请推荐sim卡转换wifi的设备LG 34 curved 显示器黑色时有闪烁亮点微信上面那些带音乐的动图相册红米 NOTE3 刷國際版MIUI7 or MIUI8有人用小米+AT&T吗:夸张的电池跑分RingPlus 打不进电话也打不出去问: ringplus swap device为什么总是出错? (转载)请推荐一个dual sim的手机吧乐视U4盒子没人讨论吗?电视盒子5.1环绕声的问题Netgear R6300 15刀什么水平?有什么手机推荐Verizon的moto E总是莫名其妙的黑屏fire tv 2,4k分辨率时刷新率突变成30 fps了怎么禁止win10周年更新?