我有一台服务器自 1 月以来一直被报告为攻击者,今天我终于找到了有关这些攻击的一些信息,但是我服务器上的日志都没有显示任何类似的东西。结果,该 IP 在许多黑名单中被禁止,并给我的 postfix 用户带来了很大的问题。
从攻击日志中可以看出,这些都是通过浏览器和 Windows NT 进行的,但是我的服务器是 Debian 9,这里有一些例子,62.XXX 是我的 IP(敏感信息已删除)
62.X.X.X - - [01/Mar/2021:14:25:28 +0000] 80 "GET /wp-login.php HTTP/1.1" 403 794 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
xmlrpc attack
WP-xmlrpc exploit
Mar 1 06:52:53 h2880623 wordpress(www.zzzzz.zz)[6547]: XML-RPC authentication attempt for unknown user [login] from 62.X.X.X
uvcm 62.X.X.X [27/Feb/2021:19:47:01 "-" "POST /wp-login.php 200 1946
62.X.X.X [28/Feb/2021:12:01:03 "-" "GET /wp-login.php 200 5753
62.X.X.X [28/Feb/2021:12:01:05 "-" "POST /wp-login.php 200 5872
62.X.X.X - - [27/Feb/2021:19:09:53 +0100] "POST /wp-login.php HTTP/1.1" 200 2661 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:09:54 +0100] "POST /wp-login.php HTTP/1.1" 200 2637 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:10:00 +0100] "POST /wp-login.php HTTP/1.1" 200 2636 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
etc.. etc..
有人可以欺骗我的 IP 来执行这些攻击吗?我可以做些什么来减轻它吗?
编辑:我很久以前就读过这篇文章如何处理受损的服务器?,并仔细遵循它,但即使遵循了这些建议,我的服务器也受到了损害,或者还有其他事情超出了我的范围。
我终于设法解决了这个问题。经过大量分析,我发现服务器上运行的该死的恶意软件都是由第三方安装的受感染模板造成的。不知何故,恶意软件设法创建了一个 cron 作业来重新生成自身,maldet 正在删除有问题的 php 代码,但由于该 cron,恶意软件被重新生成。
因此,@anx 和@Michael 指出的第一个问题的答案绝对是“不”,没有人欺骗我的 IP 来执行这些攻击。以及我可以做些什么来减轻它的答案吗?是调查:
检查打开的连接:
检查日志(syslog、auth.log、apache (nginx) 等)
你可以按照我在这个答案中写的建议:https ://superuser.com/a/792971/123200