相關資訊

# ps axu|grep apache

root 20299 0.0 0.0 61180 744 pts/3 S+ 10:17 0:00 grep apache
apache 24067 0.0 0.0 2172 580 ? Ssl 09:14 0:00 ./ssh
apache 24213 0.0 0.0 56240 956 ? Ss 09:14 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# ps axu|grep ssh

root 4084 0.0 0.0 62680 648 ? Ss 2012 3:09 /usr/sbin/sshd
apache 24067 0.0 0.0 2172 580 ? Ssl 09:14 0:00 ./ssh
apache 24213 0.0 0.0 56240 956 ? Ss 09:14 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# ps axjf

1 24067 24067 24067 ? -1 Ssl 502 0:00 ./ssh
1 24213 24213 24213 ? -1 Ss 502 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# lsof -i :22

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 4084 root 3u IPv4 13212 0t0 TCP *:ssh (LISTEN)
ssh 24213 apache 3u IPv4 3368838914 0t0 TCP xxxxx:56916->by.evoluso.com:ssh (ESTABLISHED)

找到這個

wp-login.php Brute Force not only PHP scripts, but now also via SSH tunnel from 94,242,228,104

作者發現它是一直在對某些 IP 作 POST wordpress 的連結

且是因為 wordpress 的 JCE editor 弱點駭入的,特別是 wordpress 3.0.5

 

 

最後修改日期: 2013 年 11 月 28 日

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。