我有一個 VPS,上面只安裝了 Wowza 媒體伺服器。我從 VPS 管理員那裡收到一份報告,稱我的 VPS 透過 SSH 攻擊其他伺服器來發送垃圾郵件。我不知道這可能是什麼原因。
我使用 MAC 終端存取我的 VPS。是病毒嗎?我的密碼外洩了?我怎樣才能知道?
來自 VPS 管理員的詳細資訊:“這不是垃圾郵件中的垃圾郵件,而是來自 SSH 控制台連接的垃圾郵件。該伺服器已與機器人一起使用,嘗試透過 SSH 與世界各地的不同設備進行連接。”
答案1
那麼,您的意思並不是說它正在發送垃圾郵件(未經請求的商業電子郵件)?您的意思是它正在嘗試透過 SSH 連接到其他系統...請編輯您的問題以使其清楚,因為它與您所寫的完全不同。
回到主題,這意味著你的伺服器已被入侵。你需要立即斷開連接並找出如何那事發生了。可能的原因有兩個:
- 存在漏洞、未打補丁、服務正在運行
- SSH 密碼較弱,可能是猜測的,也可能是暴力破解的,並且您已允許透過 SSH 進行 root 登入
後者可能很容易透過查看系統日誌中的 SSH 條目來識別,或者可能只是使用命令last(兩者都假設攻擊者不小心並試圖隱藏他們的痕跡)。