我的笔记本电脑上可能存在木马

我的笔记本电脑上可能存在木马

昨天连接到我公司的服务器后,我注意到有 107 次登录尝试失败的信息。检查日志后发现所有日志都来自我的 IP 地址,而传递的密码要么为空,要么只是“密码”。

我怀疑我的笔记本电脑上感染了某种特洛伊木马,我正在尝试找出它可能是什么。有人知道如何做到这一点吗?

另外,在发现这些连接尝试后,我安装了 Sophos Antivirus,但扫描需要相当长的时间,因此我没有任何相关信息。

编辑#1 这是日志的一部分:

lip 24 15:03:38 SERVER sshd[28704]: error: PAM: Authentication failure for filip from 192.168.10.107
lip 24 15:03:38 SERVER sshd[28704]: Failed none for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: error: maximum authentication attempts exceeded for filip from 192.168.10.107 port 53304 ssh2 [preauth]

操作系统是 openSUSE Leap 15.1。我不记得安装过任何“可疑”的东西

答案1

它看起来更像是配置错误的脚本。为什么木马要尝试 107 次相同的登录名和空密码?

如果您的笔记本电脑仍然连接到网络,并且假设您正在谈论 SSH 登录,请使用以下命令:

netstat -anp | grep 22

查明正在尝试连接的进程。

然而,这里有一个更大的安全问题。

首先,你应该向你公司的 SOC 提个醒——他们让同一个 IP 进行 107 次登录失败而不禁止它是不可接受的。

其次,你写了

传递的密码要么为空,要么只是“密码”

你能说出这样的话,就意味着密码以明文形式发送并以明文形式存储在日志中

答案2

我的天啊!

看来我的 Intellij git repo 配置错误,因为每次我尝试更新项目时都会出现错误。当我推送更改时,它也会抛出这些错误,但我的存储库实际上已更新。

相关内容