提醒各位最近漏洞被人利用各种被爆破

灌水王 · 发表于 2024-1-8 19:44:47

刚才看到老哥的帖子（https://hostloc.com/thread-1260405-1-1.html）发现大家在吐槽开心版宝塔之类的，结合个人说说最近碰到的一些事吧，给各位大佬提下醒：
最近发现一个vps被爆了，上面给安装各种东西，目测有挖矿、探针，还有一些1，2等短字符开头的php，……

大家帮忙想想怎么爆破的？

（1）利用宝塔漏洞？上面安装的是aapanel，且加了二次验证；开了防火墙，只开放常用端口。

（2）利用vps？因为闲麻烦没用密钥，vps用的16字符的强密码登录，ssh端口装机后一开始就改了不是22。

（3）没用来历不明一键脚本，用过的一键安装包括：aapanel、v2ray core、融合怪测速。

结合最近不少vps商家、edu邮箱、outlook账号被爆，我感觉是有什么漏洞被黑客逮住了，官方还不知道

灌水王 · 发表于 2024-1-8 19:45:13

好危险

灌水王 · 发表于 2024-1-8 19:45:36

后台一个按钮就重装了，怕啥，我的vps就行个大杂锅，啥都放

phantomlord · 发表于 2024-1-8 19:46:11

口袋比脸干净，随便破吧，你要说隐私，屁民哪有隐私。

灌水王 · 发表于 2024-1-8 19:46:43

操作系统级的0day，出售价格以万美元为单位，直接远程的，百万都可能，用这个来弄你，太不值了。你的问题显然出在别的地方。

灌水王 · 发表于 2024-1-8 19:47:29

只要不是apt装的都有可能

灌水王 · 发表于 2024-1-8 19:48:05

# grep 'UFW BLOCK' ufw.log | wc -l
56741
轻轻松松一天被扫描个几万次。

lxx · 发表于 2024-1-8 19:48:24

滴滴

灌水王 · 发表于 2024-1-8 19:48:56

最近登录的用户名

100 ali 102 jenkins 107 centos 133 deploy 140 kiosk 161 debian 164 es 175 ftpuser 185 git 199 guest 224 hadoop 241 dev 308 postgres 367 test 415 oracle 564 ubuntu 582 user 673 admin

复制代码

灌水王 · 发表于 2024-1-8 19:49:24

我之前博客服务器被搞过nginx木马那个。
重装后修改了ssh端口，不出半个小时，面板提示仍然会有大量的登陆失败请求。
博客服务器是腾讯云新加坡轻量机器。
后面是在轻量防火墙（安全组）对ssh端口跟面板端口做了访问限制
只允许我本地IP访问，到现在差不多1年左右了没被搞了。
可以参考一下我的做法。
另外提示一下，系统防火墙对于SSH服务是自动放行的，也就是你就算在系统防火墙限制了SSH端口指定IP，也是没用的。