这是一个创建于 1988 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先我是个这方面的新手,可能很多问题问得不恰当。我最近开始关注服务的安全的问题,然后用 lastb 去查看了被拒绝的尝试,但是我发现里面的 IP 都来自于 127.0.0.1,难道是我的服务器已经被攻陷了吗?
louisa ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) root ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) louisa ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) abuse ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) lee ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) abuse ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) lee ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) root ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) dpu ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) dpu ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) geoserve ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) geoserve ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) xml ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) xml ssh:notty 127.0.0.1 Fri May 1 08:21 - 08:21 (00:00) 我的服务器是通过了路由器进行端口转发的。路由器转发的端口是一个不常用的端口。然后这台服务器是在实验室的一个局域网内的。看着也不像是被实验室内其他电脑在尝试破解。
 | 1 LnTrx 2020-05-03 17:14:27 +08:00  1 端口转发可能会改变 IP source 为路由器自己 DMZ 一般不会 |
 | 2 msg7086 2020-05-03 22:04:47 +08:00 1 看上去是通过你服务器上运行的服务,本地连接 SSH 撸密码。 |
 | 3 abseilair OP @talarax7 嗯。 我感觉应该也是不会改变 IP 的,我查了一下 `/var/log/auth.log` 看到成功访问的 IP 都是正常的。 |
| 5 msg7086 2020-05-04 11:09:17 +08:00 via Android @abseilair 应该是还没有完全被破,所以才在试你的密码。应该是运行的某个低权限程序有洞,现在在尝试提权。 |
 | 6 eastern 2020-05-04 12:06:23 +08:00 家里用 frp 映射出去被扫也是 127.0.0.1 的条目 |
| 8 abseilair OP @eastern 嗯,感觉暂时也没有 google 到相同的问题。只能先临时把 localhost 给禁了。我得再去看看局域网相关的知识 |
 | 9 Vanes 2022-03-02 19:34:59 +08:00 所以最后怎么解决的呀?能找出本地的哪个程序在攻击么? |
Select Language