我“管理”一台运行 Fedora 21 的服务器。当我开始管理这台服务器时,一些应用程序/程序已经安装好了。它运行电子邮件服务器、git 和许多其他小东西。它也是这个网络的路由器。不久前,我收到一份报告,称有人从这台服务器发起攻击 (ssh)。我创建了一条防火墙规则来阻止和记录 ssh 传出连接,并注意到随机有到随机 ip 的 ssh 连接: IN=OUT=eno1 SRC=our.public.ip DST=45.61.142.74 LEN=44 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=80 DPT=22 WINDOW=29200 RES=0x00 ACK SYN URGP=0
它源自服务器(禁用的局域网)。
前段时间,服务器遭到入侵(用户密码被盗,试图使用“死牛”漏洞),其他时间,使用 testmail 用户(dovecot 的默认用户 :(),尝试安装挖矿恶意软件(firefoxcatche)。
我已经尝试了所有我能记得的方法并进行了搜索,但仍然无法找出连接是从哪里开始的/如何开始的。
目前无法进行全新安装。
谢谢。