我有一个 VPS,上面只安装了 Wowza 媒体服务器。我从 VPS 管理员那里收到一份报告,说我的 VPS 正在通过 SSH 攻击其他服务器,发送垃圾邮件。我不知道这是什么原因造成的。
我使用 MAC 终端访问我的 VPS。这是病毒吗?我的密码被泄露了?我该如何发现?
VPS 管理员的详细信息:“这不是垃圾邮件,而是来自 SSH 控制台连接的垃圾邮件。该服务器已被机器人使用,试图通过 SSH 连接世界各地的不同设备。”
答案1
所以,你的意思并不是说它发送了垃圾邮件(未经请求的商业电子邮件)?你的意思是它试图通过 SSH 连接到其他系统...请编辑你的问题以使其更清楚,因为它与你写的完全不同。
回到正题,这意味着你的服务器已被入侵。 你需要立即断开连接并找出如何发生了这种情况。可能的原因有 2 个:
- 存在漏洞且未打补丁的服务正在运行
- SSH 密码很弱,要么被猜到,要么被暴力破解,而且你允许 root 通过 SSH 登录
后者可能很容易通过查看系统日志中的 SSH 条目来识别,或者可能只是使用命令last(都假设攻击者不小心并试图隐藏他们的踪迹)。