昨天连接到我公司的服务器后,我注意到有 107 次登录尝试失败的信息。检查日志后发现所有日志都来自我的 IP 地址,而传递的密码要么为空,要么只是“密码”。
我怀疑我的笔记本电脑上感染了某种特洛伊木马,我正在尝试找出它可能是什么。有人知道如何做到这一点吗?
另外,在发现这些连接尝试后,我安装了 Sophos Antivirus,但扫描需要相当长的时间,因此我没有任何相关信息。
编辑#1 这是日志的一部分:
lip 24 15:03:38 SERVER sshd[28704]: error: PAM: Authentication failure for filip from 192.168.10.107
lip 24 15:03:38 SERVER sshd[28704]: Failed none for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: Failed password for filip from 192.168.10.107 port 53304 ssh2
lip 24 15:03:38 SERVER sshd[28704]: error: maximum authentication attempts exceeded for filip from 192.168.10.107 port 53304 ssh2 [preauth]
操作系统是 openSUSE Leap 15.1。我不记得安装过任何“可疑”的东西
答案1
它看起来更像是配置错误的脚本。为什么木马要尝试 107 次相同的登录名和空密码?
如果您的笔记本电脑仍然连接到网络,并且假设您正在谈论 SSH 登录,请使用以下命令:
netstat -anp | grep 22
查明正在尝试连接的进程。
然而,这里有一个更大的安全问题。
首先,你应该向你公司的 SOC 提个醒——他们让同一个 IP 进行 107 次登录失败而不禁止它是不可接受的。
其次,你写了
传递的密码要么为空,要么只是“密码”
你能说出这样的话,就意味着密码以明文形式发送并以明文形式存储在日志中。
答案2
我的天啊!
看来我的 Intellij git repo 配置错误,因为每次我尝试更新项目时都会出现错误。当我推送更改时,它也会抛出这些错误,但我的存储库实际上已更新。