话说客户打电话来说,说发现新装的服务器对方发起了几万个ssh连接
于是我登录进去看,果然发现有N多个对外的ssh连接,都是连接到外面218开头的IP地址
估计是给放了木马,被人家用来做肉机了
想不通自己装的服务器,不会这么流啊,一装起来就给黑进来了
后来ps看了一下,发现是一个叫“user”的用户,在运行pscan2的进程,对218开头的IP地址进行扫描
问题找到了,于是把那个“user”用户的进程kill掉,系统恢复正常
在想为什么这么弱啊,这么容易就给人家肉机了...
原来,这个“user”用户,是客户要求建的,密码是"user123",当时是因为要跑samba做文件共享
用户要求设这个账号和密码,方便他们内部使用
但我建了账号之后,没有把这个账号的远程登录权限取消,于是,就给肉机程序猜到了密码,
自动ssh登录进来,再把那台服务器变为了一台肉机...
看来还是自己不小心导致,客户要用user123做密码虽然有点天真,但我没有把这个账号设置为nologin,为木马程序打开的窗口。