我有一个运行 Ubuntu 18.04 的虚拟服务器,它来自一家知名托管公司。今天早上,我们的 Fortigate 防火墙日志显示,我的 Win10 计算机在 13 小时内(昨晚)通过 SSH 向我的虚拟服务器传输了 3.5TB 数据,并从虚拟服务器传输了 6.5TB 数据。
这里有几个问题;首先,我们知道 Fortigate 防火墙引用的数字是不正确的,因为 a) 连接速度不够快,无法在这段时间内完成此操作,可能只有所需速度的十分之一,并且 b) VPS 日志显示它接收了 35GB 并发送了 65GB... 比 Fortigate 报告的少很多倍。其次,使用 SSH 打开的唯一东西是 Putty 和 WinSCP。Putty 没有做任何事情,bash 历史记录显示唯一的命令与启动和停止 Kestrel(dot net core 服务器)有关,它没有做其他任何事情。据我所知,WinSCP 也没有做任何事情。我白天移动了几个文件夹。
在我的本地机器上进行病毒扫描时没有发现任何异常,服务器日志中也没有任何错误,并且除了设置的 Microsoft .net core repos 之外,服务器没有其他第三方软件包。
虽然老板认为没有发生任何险恶的事情,但我对发生的事情感到不高兴,甚至无法回答。
我对此有很多疑问,但现在我只想回答:
- 是什么原因造成的呢?
- 这可能只是 Fortigate 的一个问题吗,因为我们知道它错误地报告了数据传输,或者是 WinSCP 循环了?
- 有没有人遇到过这样的事情?
任何非常感谢您的线索。
答案1
我会从更改所有密码开始,并强制使用更长更复杂的密码。您的帐户可能已被盗用。我遇到过这种情况,我决定更改密码,重新启动,这彻底阻止了黑客攻击。
我想我很幸运,黑客没有植入什么东西来再次获得访问权限。
答案2
检查您的 ubuntu 或 windows 机器上运行的进程。
可能有一些黑客植入的垃圾邮件,在后台运行并导致网络泛滥。
答案3
如果服务器是 Linux,并且流量大小在服务器大小范围内,那么可能有人克隆了服务器? VCenter Converter 只需使用 ssh 和 root 访问权限即可完成此操作。
答案4
某些东西正在淹没您的网络,使用 Wireshark 捕获包来执行网络流量分析。