Tag: PSCAN2

4月初收到Amazon大量邮件提醒我的主机对外进行端口扫描。 细查发现主机上启动了大量进程对外尝试ssh连接——被黑了…… 真是一脸黑线啊，还是那句话，That’s why I pay so much to my server administrator. Google了下症状，中了pscan2了。 去查看/home目录，发现有个phpmyadmin用户……！！！ 看.bash_history看到/dev/shm下放了一个文件名是空格的文件夹，里面跑着进程。 杀进程，删文件。 教训是 如果你装的什么应用程序为你创建了新用户，把它的shell置成/bin/false比较安全。 密码安全要当心，千万别觉得自己的密码不容易记住就是好密码。使用密码生成、管理工具比较安全。 即便你的主机没什么有价值的内容，也有被当作肉鸡的价值，不要侥幸。 禁掉ssh交互式登录吧。这样至少hacker没有直接重试ssh 服务的机会。 教训很初级，随意看看。