小鸡出现陌生的ssh连接，小鸡是不是被黑了？

time12sads

今天登录了下vir的小鸡，发现了一个陌生的ssh连接，查了下 ip，好像是 连云港的
root@debian:~# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0    316 debian:ssh              我的ip                          ESTABLISHED
tcp        0   1057 debian:ssh              61.177.173.52:61532    ESTABLISHED   对方的ip

我的小鸡是不是被黑了？

问题已解决。 小鸡的ssh端口没改，还是22。 上面显示的 只是对方正在爆破， 并没有真正连接进小鸡。 用 last 查看了下登录日志，确实只有我自己所在的城市的ip登录进过。 目前已经改了ssh端口，爆破的终于不见了。

WZ-Software

**，这IP也在扫我机器

咋办啊

gundam06ms

少见多怪了用22端口这很正常22端口小鸡开了三个月没关机碰瓷登录记录几十万条可以顺便收集下人家撞你小鸡的实战账密组合换掉默认22端口会少很多它们也懒得天天扫端口

alfredo

last lastb

time12sads

WZ-Software 发表于 2022-11-13 18:54
怎么改SSH端口，我也要换了

你用 last 命令查一下， 看是不是只有你自己所在的ip登录进过？
修改ssh端口：https://www请删除文字.cnblogs.com/zxlovenet/p/4571882.html

hitachi

time12sads 发表于 2022-11-13 11:04
虚惊一场，小鸡只是在被爆破， 幸好当时密码是随机16位，特殊字符、大小写都有。 现在改了端口了，爆破的 ...

小问题，就算失陷了若没什么重要数据大不了重装。

time12sads

hitachi 发表于 2022-11-13 19:01
居然能被你察觉，对方水平也不怎么样呀。
一般不都是暴破登录种马rootkit 持久化一条龙么。 ...

虚惊一场，小鸡只是在被爆破， 幸好当时密码是随机16位，特殊字符、大小写都有。 现在改了端口了，爆破的终于没了

hitachi

居然能被你察觉，对方水平也不怎么样呀。
一般不都是暴破登录种马rootkit 持久化一条龙么。

沙龙

WZ-Software 发表于 2022-11-13 18:56
你看我楼层的图，就是这IP

发下这个截图
netstat -antpl |grep ssh

WZ-Software

沙龙 发表于 2022-11-13 18:56
我擦，没这么巧吧？

结束进程：kill -9 12725

你看我楼层的图，就是这IP

沙龙

WZ-Software 发表于 2022-11-13 18:53
大佬，这IP也在草我机器，怎么把他踹掉

我擦，没这么巧吧？

结束进程：kill -9 12725
其中12725是异常IP与ssh登录进程id。

结束后，赶紧改密码把。