我的服务器自 1 月份以来就被报告为攻击者,今天我终于找到了有关这些攻击的一些信息,但我的服务器上没有任何日志显示类似信息。结果,该 IP 被许多黑名单禁止,并给我的 postfix 用户造成了很大的问题。
从攻击日志中可以看出,这些都是通过浏览器和 Windows NT 进行的,但我的服务器是 Debian 9,这里有一些例子,62.XXX 是我的 IP(敏感信息已删除)
62.X.X.X - - [01/Mar/2021:14:25:28 +0000] 80 "GET /wp-login.php HTTP/1.1" 403 794 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
xmlrpc attack
WP-xmlrpc exploit
Mar 1 06:52:53 h2880623 wordpress(www.zzzzz.zz)[6547]: XML-RPC authentication attempt for unknown user [login] from 62.X.X.X
uvcm 62.X.X.X [27/Feb/2021:19:47:01 "-" "POST /wp-login.php 200 1946
62.X.X.X [28/Feb/2021:12:01:03 "-" "GET /wp-login.php 200 5753
62.X.X.X [28/Feb/2021:12:01:05 "-" "POST /wp-login.php 200 5872
62.X.X.X - - [27/Feb/2021:19:09:53 +0100] "POST /wp-login.php HTTP/1.1" 200 2661 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:09:54 +0100] "POST /wp-login.php HTTP/1.1" 200 2637 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:10:00 +0100] "POST /wp-login.php HTTP/1.1" 200 2636 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
etc.. etc..
有人能伪造我的 IP 来执行这些攻击吗?我能做些什么来缓解它吗?
编辑:我很久以前就读过这篇文章我该如何处理受到感染的服务器?,并认真遵循,但即使遵循了这些建议,我的服务器仍然受到攻击,或者发生了超出我范围的其他事情。
答案1
我终于解决了这个问题。经过大量分析,我发现服务器上运行的该死的恶意软件都是由第三方安装的受感染模板引起的。不知何故,该恶意软件设法创建了一个 cron 作业来自我再生,maldet 正在删除有问题的 php 代码,但由于该 cron,恶意软件得以再生。
因此,正如@anx 和@Michael 指出的那样,我的第一个问题的答案绝对是“不”,没有人伪造我的 IP 来执行这些攻击。而对于“我可以做些什么来缓解它吗?”的答案是调查:
检查打开的连接:
lsof -Pnl +M -i4检查日志(syslog、auth.log、apache(nginx)等)
您可以按照我在这个答案中写的建议进行操作:https://superuser.com/a/792971/123200