全球主机交流论坛

标题: 提醒各位最近漏洞被人利用各种被爆破 [打印本页]

作者: alhlpha 时间: 2024-1-8 16:30
标题: 提醒各位最近漏洞被人利用各种被爆破
刚才看到老哥的帖子（https://hostloc.gdisk.cf/thread-1260405-1-1.html）发现大家在吐槽开心版宝塔之类的，结合个人说说最近碰到的一些事吧，给各位大佬提下醒：
最近发现一个vps被爆了，上面给安装各种东西，目测有挖矿、探针，还有一些1，2等短字符开头的php，……

大家帮忙想想怎么爆破的？

（1）利用宝塔漏洞？上面安装的是aapanel，且加了二次验证；开了防火墙，只开放常用端口。

（2）利用vps？因为闲麻烦没用密钥，vps用的16字符的强密码登录，ssh端口装机后一开始就改了不是22。

（3）没用来历不明一键脚本，用过的一键安装包括：aapanel、v2ray core、融合怪测速。

结合最近不少vps商家、edu邮箱、outlook账号被爆，我感觉是有什么漏洞被黑客逮住了，官方还不知道

作者: 狗仔小分队 时间: 2024-1-8 16:31
好危险

作者: 埃隆马斯克 时间: 2024-1-8 16:33
后台一个按钮就重装了，怕啥，我的vps就行个大杂锅，啥都放

作者: 螃蟹就得走直线 时间: 2024-1-8 16:34
口袋比脸干净，随便破吧，你要说隐私，屁民哪有隐私。

作者: icon 时间: 2024-1-8 16:34
操作系统级的0day，出售价格以万美元为单位，直接远程的，百万都可能，用这个来弄你，太不值了。你的问题显然出在别的地方。

作者: HOH 时间: 2024-1-8 16:35
只要不是apt装的都有可能

作者: 少年时 时间: 2024-1-8 16:35
# grep 'UFW BLOCK' ufw.log | wc -l
56741
轻轻松松一天被扫描个几万次。

作者: 爱你一生1024 时间: 2024-1-8 16:36
滴滴

作者: wlz 时间: 2024-1-8 18:27
最近登录的用户名

100 ali
102 jenkins
107 centos
133 deploy
140 kiosk
161 debian
164 es
175 ftpuser
185 git
199 guest
224 hadoop
241 dev
308 postgres
367 test
415 oracle
564 ubuntu
582 user
673 admin

复制代码

作者: btpanel 时间: 2024-1-8 18:42
本帖最后由 btpanel 于 2024-1-8 18:48 编辑

我之前博客服务器被搞过nginx木马那个。
重装后修改了ssh端口，不出半个小时，面板提示仍然会有大量的登陆失败请求。
博客服务器是腾讯云新加坡轻量机器。
后面是在轻量防火墙（安全组）对ssh端口跟面板端口做了访问限制
只允许我本地IP访问，到现在差不多1年左右了没被搞了。
可以参考一下我的做法。
另外提示一下，系统防火墙对于SSH服务是自动放行的，也就是你就算在系统防火墙限制了SSH端口指定IP，也是没用的。

作者: alhlpha 时间: 2024-1-8 19:36

btpanel 发表于 2024-1-8 18:42
我之前博客服务器被搞过nginx木马那个。
重装后修改了ssh端口，不出半个小时，面板提示仍然会有大量的登陆 ...

本地IP这个比较难，没有固定IP

作者: win68 时间: 2024-1-8 19:40
我直接在宝塔设置SSH登陆Ip是我本地ip
端口都没改,

作者: btpanel 时间: 2024-1-8 19:49

alhlpha 发表于 2024-1-8 19:36
本地IP这个比较难，没有固定IP

我这边移动的城域网，会分配几个连续的段，我设置后一直没问题。其他的不清楚。实在不行手动去安全组更新IP吧！

作者: zsj403919383 时间: 2024-1-8 20:24

alhlpha 发表于 2024-1-8 19:36
本地IP这个比较难，没有固定IP

只允许代理的ip访问就好了

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)