首页 新闻 赞助 找找看

救命啊!服务器被异常登陆了,然后我重新初始化了系统改了近20位的密码,他还是能登陆.

0
悬赏园豆:10 [已解决问题] 解决于 2017-12-27 15:14

下面是日志

复制代码
登录来源IP: 59.63.249.74
登录来源IP位置: 中国 江西省 南昌市
登录账户: root
父进程路径: /bin/bash
进程路径: /bin/cut
进程id: 28081
父进程id: 27958
命令行参数: cut -d : -f 1 /etc/passwd
进程启动账户: root
进程启动组账户: root

    
登录来源IP: 59.63.249.74
登录来源IP位置: 中国 江西省 南昌市
登录账户: root
父进程路径: /bin/bash
进程路径: /usr/bin/last
进程id: 28093
父进程id: 27958
命令行参数: last
进程启动账户: root
进程启动组账户: root

    登录来源IP: 59.63.249.74
    登录来源IP位置: 中国 江西省 南昌市
    登录账户: root
    父进程路径: /bin/bash
    进程路径: /usr/bin/who
    进程id: 28092
    父进程id: 27958
    命令行参数: who
    进程启动账户: root
    进程启动组账户: root

    登录来源IP: 59.63.249.74
    登录来源IP位置: 中国 江西省 南昌市
    登录账户: root
    父进程路径: /bin/bash
    进程路径: /bin/cat
    进程id: 28084
    父进程id: 27958
    命令行参数: cat /etc/passwd
    进程启动账户: root
    进程启动组账户: root
我qq820398513
复制代码

我求帮助!我应该怎么办.

DanBrown的主页 DanBrown | 小虾三级 | 园豆:1321
提问于:2017-12-23 08:56
< >
分享
最佳答案
1

改为只允许密钥允许密码登录试试

收获园豆:5
dudu | 高人七级 |园豆:31075 | 2017-12-23 09:00

用的是云服务器吗?

dudu | 园豆:31075 (高人七级) | 2017-12-23 09:01

@dudu: 是的,我qq820398513求帮帮

DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:04

@DanBrown: 先用云服务商的安全组策略屏蔽这个IP地址

dudu | 园豆:31075 (高人七级) | 2017-12-23 09:26

@dudu: 

DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:31
拒绝 自定义 TCP
22/27017
地址段访问

59.63.249.74

-
1 2017-12-23 09:30:32 是这个吗?
DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:31

@DanBrown: 你用的是哪个云?

dudu | 园豆:31075 (高人七级) | 2017-12-23 09:33

@dudu: 阿里云

DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:33

@dudu: 阿里云ECS

DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:34

@DanBrown:  见下图

dudu | 园豆:31075 (高人七级) | 2017-12-23 09:36

@dudu: 我填的是-1/-1所有都封了,授权对象后面的/32代表什么意识?

DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:38

@DanBrown: 32是只封这个IP

dudu | 园豆:31075 (高人七级) | 2017-12-23 09:45
其他回答(4)
0

 把你自己的终端参数贴出来看看。pty命令。

收获园豆:1
David5201 | 园豆:534 (小虾三级) | 2017-12-23 09:01

能给下具体 命令吗?根本不懂安全啊,

支持(0) 反对(1) DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 09:07
0

有点抽象,这么快除非被跑进程了 —— 你确认这不是你自己。

ECS外围有防火墙的,设置名单,再不爽系统重置一次。

收获园豆:2
花飘水流兮 | 园豆:13560 (专家六级) | 2017-12-23 10:55

我昨天晚上12弄的 ,今天早上8点我睡觉来的短息又被登陆 了

支持(0) 反对(0) DanBrown | 园豆:1321 (小虾三级) | 2017-12-23 10:58
0

不懂,帮忙顶帖。表示膜拜

收获园豆:1
pecool | 园豆:14 (初学一级) | 2017-12-23 21:18
0

去看看authorized_keys里是不是被加上他的密钥了

收获园豆:1
北方姆Q | 园豆:1118 (小虾三级) | 2017-12-25 10:29
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册