概要

宝塔在新版本中上线了多用户功能,满足在多用户的条件下操作宝塔面板,当做虚拟主机使用。
在2024年12月10日晚上,我安装了这个功能,因为测试,我创建了一个测试用户,“test”,因为是测试用户密码都是弱密码,我本以为和大多数虚拟主机一样,只是一个登录的字段。
万万没想到,宝塔这边直接创建了一个linux账户,因此我服务器被爆破了。

排查

今天发现这台服务器无法访问了,没有办法只能重启服务器,重启后发现CPU内存等指标全满,首先到SSH执行top查看具体情况,但未见明显异常。
但这个情况是肯定不对的,于是避免资源占用,我们先关闭Mysql和Nginx,释放一部分资源,因为在服务器满载的情况下,我们是排查不了任何东西的。
释放了部分内存后,我们登录宝塔查看任务管理器查看,发现有部分异常进程,但是结束进程后又会创建新的进程,无解。

查看任务管理器详情

我仔细查看了任务管理器中进程的创建者,发现有"test"用户创建的,我联想到了昨天晚上执行的多用户的时候。
想到办法之后,我们强制删除这个"test"用户,之后查询这个用户创建的文件,一并强制删除,即恢复了。

爆破日志

回调了服务器日志,看到了这一幕:

主机SSH被外部爆破且成功登陆,时间:2024-12-10 22:16:38,攻击IP:139.59.101.197,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-10 22:16:58,攻击IP:139.59.101.197,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-10 22:30:53,攻击IP:134.209.65.140,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-10 22:31:04,攻击IP:134.209.65.140,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 02:55:08,攻击IP:103.248.43.99,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 02:55:49,攻击IP:103.248.43.99,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 03:53:09,攻击IP:116.193.190.174,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 03:54:02,攻击IP:116.193.190.174,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:09:16,攻击IP:209.38.90.61,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:09:34,攻击IP:209.38.90.61,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:29,攻击IP:10.0.46.69,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:31,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:36,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:43,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:52,攻击IP:10.0.46.69,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:32:53,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:33:00,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:33:08,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:40:22,攻击IP:10.0.46.69,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:41:55,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:46:24,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:30,攻击IP:10.0.46.69,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:30,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:32,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:34,攻击IP:23.224.174.55,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:43,攻击IP:10.0.46.69,登录用户:test 主机SSH被外部爆破且成功登陆,时间:2024-12-11 06:48:50,攻击IP:23.224.174.55,登录用户:test
分类: 运维工具 标签: 暂无标签
版权申明

本文系作者 @chboy 原创发布在轩哥代码库站点。未经许可,禁止转载。

评论

暂无评论数据

暂无评论数据

相关推荐

暂无相关推荐
获得点赞 0
文章被阅读 14
最后更新 24-12-12 16:25:56

目录

目录