我不确定我是否被黑客入侵。
我尝试通过 SSH 登录,但它不接受我的密码。Root 登录被禁用,所以我去救援并打开了 root 登录,并且能够以 root 身份登录。作为 root,我尝试使用与我之前尝试登录相同的密码更改受影响帐户的密码,并passwd回复“密码不变”。然后我将密码更改为其他密码并能够登录,然后将密码更改回原始密码,我再次能够登录。
我检查auth.log了密码更改,但没有发现任何有用的东西。
我还扫描了病毒和 rootkit,服务器返回了这个:
蛤AV:
"/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND"
RK猎人:
"/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable
Warning: Suspicious file types found in /dev:"
应该注意的是,我的服务器并不广为人知。我还更改了 SSH 端口并启用了两步验证。
我担心我被黑了,有人试图欺骗我,“一切都很好,别担心”。
我安装了 google 身份验证器(两步验证),“libpam-google-authenticator”包,尽管它要求为每个到 SSH 的连接提供代码。我想将 localhost 和我自己的 ip 从谷歌身份验证器列入白名单,所以我和 localhost 跳过两步验证
或者有没有办法跳过某些 ip 的 SSH 挑战?