这是一个创建于 61 天前的主题,其中的信息可能已经有所发展或是发生改变。
通过 ss 命令看到连接了 31.210.53.114:http 这不是国内的 IP 地址 
打开发现长这样 
打开发现长这样  | 1 mooyo 2 月 4 日 被黑了,备份数据重装吧 |
 | 2 Kirkcong 2 月 4 日 你说的连接是指什么?我访问你的登陆页面,这也建立了连接。 |
 | 3 python35 2 月 4 日 如果不是你自己 docker 上面装了什么奇怪的东西的话,那就盲猜是一个 c&c 服务器 |
 | 4 muslim31214 2 月 4 日 via iPhone 单凭一个 IP 还没法直接定性被黑或 C2 ,不过确实值得按异常出站排查: 1 )先定位是谁在连:ss -tpn | grep 31.210.53.114 (看 pid/进程名)或 lsof -iTCP -sTCP:ESTABLISHED -nP | grep 31.210.53.114 2 )如果是 docker ,查对应容器:docker ps / docker logs <容器>,看最近有没有拉过不明镜像/脚本 3 )确认异常后再做处理:临时封掉该出站 IP/端口、隔离机器,备份必要数据后再考虑重装/恢复 如果能贴一下 ss -tpn 输出里进程名/端口(敏感信息打码),大家更容易判断是正常服务回源还是异常程序回连。 |
 | 6 Nexora OP @muslim31214 莫非是我在下载 BT 资源。。。  |
 | 7 x86 2 月 4 日 帮你击落了 |
 | 8 hinate 2 月 4 日 按官方的脚本查一下,大概率是最新的漏洞被利用了,备份数据吧。 |
| 11 Nexora OP |
 | 12 zhangsanfeng2012 2 月 4 日 你这个是 pt 连接吧 |
| 13 muslim31214 2 月 4 日  1 ss 里显示是 qbittorrent-nox 在连这个 IP ,正常 BT 行为。确认是自己装的/自己在下就没事,不用往被黑想;不需要就停服务+封出站 |
Select Language