Debian
伺服器 IP 欺騙和攻擊
我有一台伺服器,自 1 月份以來一直被報告為攻擊者,今天我終於找到了有關這些攻擊的一些資訊,但是我伺服器上的日誌都沒有顯示任何類似的東西。結果,該 IP 在許多黑名單中被禁止,並給我的 postfix 使用者帶來了很大的問題。
從攻擊日誌中可以看出,這些都是通過瀏覽器和 Windows NT 進行的,但是我的伺服器是 Debian 9,這裡有一些例子,62.XXX 是我的 IP(敏感資訊已刪除)
62.X.X.X - - [01/Mar/2021:14:25:28 +0000] 80 "GET /wp-login.php HTTP/1.1" 403 794 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" xmlrpc attack WP-xmlrpc exploit Mar 1 06:52:53 h2880623 wordpress(www.zzzzz.zz)[6547]: XML-RPC authentication attempt for unknown user [login] from 62.X.X.X uvcm 62.X.X.X [27/Feb/2021:19:47:01 "-" "POST /wp-login.php 200 1946 62.X.X.X [28/Feb/2021:12:01:03 "-" "GET /wp-login.php 200 5753 62.X.X.X [28/Feb/2021:12:01:05 "-" "POST /wp-login.php 200 5872 62.X.X.X - - [27/Feb/2021:19:09:53 +0100] "POST /wp-login.php HTTP/1.1" 200 2661 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" 62.X.X.X - - [27/Feb/2021:19:09:54 +0100] "POST /wp-login.php HTTP/1.1" 200 2637 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" 62.X.X.X - - [27/Feb/2021:19:10:00 +0100] "POST /wp-login.php HTTP/1.1" 200 2636 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0" etc.. etc..
有人可以欺騙我的 IP 來執行這些攻擊嗎?我可以做些什麼來減輕它嗎?
編輯:我很久以前就讀過這篇文章如何處理受損的伺服器?,並仔細遵循它,但即使遵循了這些建議,我的伺服器也受到了損害,或者還有其他事情超出了我的範圍。
我終於設法解決了這個問題。經過大量分析,我發現伺服器上執行的該死的惡意軟體都是由第三方安裝的受感染模板造成的。不知何故,惡意軟體設法創建了一個 cron 作業來重新生成自身,maldet 正在刪除有問題的 php 程式碼,但由於該 cron,惡意軟體被重新生成。
因此,@anx 和@Michael 指出的第一個問題的答案絕對是“不”,沒有人欺騙我的 IP 來執行這些攻擊。以及我可以做些什麼來減輕它的答案嗎?是調查:
- 檢查打開的連接:
lsof -Pnl +M -i4
- 檢查日誌(syslog、auth.log、apache (nginx) 等)
你可以按照我在這個答案中寫的建議:https ://superuser.com/a/792971/123200