我有一台 ubuntu 电脑,我将其用作 minecraft 服务器。然而几个小时前,它开始阻止我或任何连接到网络的设备使用互联网。我还注意到它对一个特定的中国 IP 的上传速率一直很高(我不知道是否可以在这里发布,所以现在我不会发布)。如果我断开以太网电缆,一切都会恢复正常。这不是硬件问题,因为我已将硬盘插入另一台计算机,它的行为相同。
我尝试使用 nethogs 来查看哪个进程使用了那么多带宽,但似乎 nethogs 会挂断并且无法工作。此外,本地端口不断变化,因此我无法从端口跟踪它。远程端口始终为 443。
我是否应该简单地阻止 IP 或者我应该先检查计算机是否被感染(即使它是 Linux)?
答案1
看来你的机器已被黑客入侵。
在不了解机器如何被黑客入侵的情况下重建机器只会让这种情况再次发生。
在重建机器之前,先看看如何“强化”你的机器:
- 无需密码,仅允许使用 SSH 密钥
- 防火墙(
ufw是一种人类可理解的防火墙)用于阻止除极少数必要端口(HTTP/HTTPS/SSH)之外的所有端口(并且可能只允许来自已知地址的 SSH,或对每个人进行速率限制) - 检测并禁止
fail2ban进行暴力攻击的 IP - 其他措施取决于已安装的软件,例如在管理控制台(phpMyAdmin 等)上设置好的密码,并将其放在非标准和随机的 URL 上。