内网穿透被爆破记录

# 查看ssh服务连接日志
sudo tail -f /var/log/auth.log | grep -E "Failed password|sshd: unkno"

# 查看内网端口ssh连接
while true; do
    sudo ss -pt "src = 127.0.0.1 and dport = 22" | grep -v sshd | grep -v "State"
    sleep 0.1
done

定时任务

# 查看所有用户定时任务
sudo cat /etc/passwd | cut -d: -f1 | while read user; do
    echo "=== Crontab for user: $user ==="
    sudo crontab -u "$user" -l 2>/dev/null
    echo
done

# 清除 username 用户的定时任务
sudo crontab -r -u username

# 移除所有限制属性（i: immutable, a: append-only）
sudo chattr -a -i /etc/cron.hourly/rqcyi
sudo chattr -a -i /etc/cron.daily/byxnyhza
sudo chattr -a -i /etc/cron.hourly/byxnyhza
sudo chattr -a -i /etc/cron.daily/rqcyi
# 删除恶意定时脚本
sudo rm -f /etc/cron.hourly/rqcyi
sudo rm -f /etc/cron.daily/byxnyhza
sudo rm -f /etc/cron.hourly/byxnyhza
sudo rm -f /etc/cron.daily/rqcyi

恶意文件

# 删除其他恶意文件
sudo rm -rf /tmp/.bash /tmp/.py
sudo rm -f /usr/bin/x86_64

sudo rm -f /tmp/.snap-private-bash
sudo rm -rf /usr/bin/-bash

ssh防篡改

# 计算ssh的哈希值进行比对
sudo md5sum /usr/sbin/sshd

# 重新安装 SSH 服务
sudo apt-get install --reinstall openssh-server
sudo systemctl restart ssh
sudo systemctl status ssh

版权所有

版权归属：HuiXiaHeYu

许可证：署名 4.0 国际 (CC-BY-4.0)