今天偶然发现服务器上有几个奇怪的网络连接,查了下来自几个海外IP。之前和老板打过招呼,俺们服务器登录这么open,安全问题是免不了的,之前为方便连VPN都卸了,只能防君子不防小人。所以现在也并不意外。然后把几台开放的服务器都查了一下,有一台被几个海外IP挂在上面有一年了,看起来是某用户密码被破解了。
半年后更正:从后续情况来看,用户密码应该未被破解。那几个海外IP挂了许久的连接猜测应该只是网络连接,但并未登录。
目前先采用蒙古大夫锯箭法,封了几个IP和端口。怀疑泄露的密码也懒得改了,怕改了后记不住。
先观察一段时间再说。
前几年还碰到一件事,不记得有没有在爱坛日志里报告过。帮某老板装过的Linux服务器被黑中了木马,成了挖矿的肉鸡。之所以确认是在挖矿是因为具体症状和网上搜到的肉鸡描述相同。当时想不重装以保住已有的应用数据和设置,但折腾了很久也无法清光木马。最后只好重装了Linux,终于世界清净了。