提醒各位最近漏洞被人利用各种被爆破

alhlpha

刚才看到老哥的帖子（https://hostloc.com/thread-1260405-1-1.html）发现大家在吐槽开心版宝塔之类的，结合个人说说最近碰到的一些事吧，给各位大佬提下醒：
最近发现一个vps被爆了，上面给安装各种东西，目测有挖矿、探针，还有一些1，2等短字符开头的php，……

大家帮忙想想怎么爆破的？

（1）利用宝塔漏洞？上面安装的是aapanel，且加了二次验证；开了防火墙，只开放常用端口。

（2）利用vps？因为闲麻烦没用密钥，vps用的16字符的强密码登录，ssh端口装机后一开始就改了不是22。

（3）没用来历不明一键脚本，用过的一键安装包括：aapanel、v2ray core、融合怪测速。

结合最近不少vps商家、edu邮箱、outlook账号被爆，我感觉是有什么漏洞被黑客逮住了，官方还不知道

狗仔小分队

好危险

埃隆马斯克

后台一个按钮就重装了，怕啥，我的vps就行个大杂锅，啥都放

螃蟹就得走直线

口袋比脸干净，随便破吧，你要说隐私，屁民哪有隐私。

icon

操作系统级的0day，出售价格以万美元为单位，直接远程的，百万都可能，用这个来弄你，太不值了。你的问题显然出在别的地方。

HOH

只要不是apt装的都有可能

少年时

# grep 'UFW BLOCK' ufw.log | wc -l
56741
轻轻松松一天被扫描个几万次。

爱你一生1024

滴滴

wlz

最近登录的用户名
[ol]

    100 ali

    102 jenkins

    107 centos

    133 deploy

    140 kiosk

    161 debian

    164 es

    175 ftpuser

    185 git

    199 guest

    224 hadoop

    241 dev

    308 postgres

    367 test

    415 oracle

    564 ubuntu

    582 user

    673 admin

[/ol]复制代码

btpanel

本帖最后由 btpanel 于 2024-1-8 18:48 编辑

我之前博客服务器被搞过nginx木马那个。
重装后修改了ssh端口，不出半个小时，面板提示仍然会有大量的登陆失败请求。
博客服务器是腾讯云新加坡轻量机器。
后面是在轻量防火墙（安全组）对ssh端口跟面板端口做了访问限制
只允许我本地IP访问，到现在差不多1年左右了没被搞了。
可以参考一下我的做法。
另外提示一下，系统防火墙对于SSH服务是自动放行的，也就是你就算在系统防火墙限制了SSH端口指定IP，也是没用的。