论坛 › 新手入门及其它(硬件) › 被黑客攻击求助

wumingxt 发表于 2023-12-8 21:05

被黑客攻击求助

本帖最后由 wumingxt 于 2023-12-8 23:38 编辑

昨天（2023.12.07）家里突然上不去网络（k2p主+n1旁），查看k2p后台，cpu一直100%运行，它和n1之间的速度满速（100MB/S）运行，但我什么都没有开，把任何疑似占网速插件和docker都关闭了。但这种疯狂的速度并没有停歇片刻。相当于k2p满负荷运行，n1满负荷运行，整个网络都被卡死。


仔细观察，发现从n1向172.247.80.51的ip有超过2000个TCP连接，而且wan口一直以1-3MB/S的速度在上传，查询这个ip是美国的，试着打开http://172.247.80.51，居然是个黄寺网站（至少当时能打开）。太匪夷所思，感觉路由器被人远程植入了病毒。
                              

今天重新刷机N1，连上网络，发现如下日志：
=======================================


Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 118.200.218.155 port 54568: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 43.229.84.60 port 51430: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 103.7.10.52 port 53654: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 118.200.218.155 port 54569: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 118.200.218.155 port 54570: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 43.229.84.60 port 51432: invalid format
Fri Dec8 21:02:02 2023 auth.err sshd: error: kex_exchange_identification: banner line contains invalid characters
Fri Dec8 21:02:02 2023 auth.info sshd: banner exchange: Connection from 103.7.10.52 port 53655: invalid format

=======================================
每秒钟7-8次扫描，这是在被黑的节奏吗？这次的这些ip来自新加坡
请高人搭救......



=======================================

改了端口号，也还是会有扫描的。

然后关了k2p的关于ssh的端口映射，然后安静了，再也没有扫描了。

看来这一切都源自于ddns的开启和端口映射出去了。

q865945646 发表于 2023-12-8 21:16

关了SSH

superzjg 发表于 2023-12-8 21:19

断网，两个设备都恢复出厂设置
这样比较稳妥

wumingxt 发表于 2023-12-8 23:28

多谢指导，已经修改端口号最好了。不然一直扫描，也占用n1的负载

wumingxt 发表于 2023-12-8 23:35

改了端口号，也还是会有扫描的。

然后关了k2p的关于ssh的端口映射，然后安静了，再也没有扫描了。

看来这一切都源自于ddns的开启和端口映射出去了。

tt1 发表于 2024-2-7 17:53

其实这种攻击不是劫持dns频繁，你也基本上发现不了最好办法上防火墙，行就pf ope只能试一试解决不了就上真正防火墙。

查看完整版本: 被黑客攻击求助