通过 ss 命令看到连接了 31.210.53.114:http 这不是国内的 IP 地址 
打开发现长这样 
打开发现长这样  |
1
mooyo 2 天前
被黑了,备份数据重装吧
|
 |
2
Kirkcong 2 天前
你说的连接是指什么?我访问你的登陆页面,这也建立了连接。
|
 |
3
python35 2 天前
如果不是你自己 docker 上面装了什么奇怪的东西的话,那就盲猜是一个 c&c 服务器
|
 |
4
muslim31214 2 天前 via iPhone
单凭一个 IP 还没法直接定性被黑或 C2 ,不过确实值得按异常出站排查:
1 )先定位是谁在连:ss -tpn | grep 31.210.53.114 (看 pid/进程名)或 lsof -iTCP -sTCP:ESTABLISHED -nP | grep 31.210.53.114 2 )如果是 docker ,查对应容器:docker ps / docker logs <容器>,看最近有没有拉过不明镜像/脚本 3 )确认异常后再做处理:临时封掉该出站 IP/端口、隔离机器,备份必要数据后再考虑重装/恢复 如果能贴一下 ss -tpn 输出里进程名/端口(敏感信息打码),大家更容易判断是正常服务回源还是异常程序回连。 |
 |
6
Nexora OP @muslim31214 莫非是我在下载 BT 资源。。。
 |
 |
7
x86 2 天前
帮你击落了
|
 |
8
hinate 2 天前
按官方的脚本查一下,大概率是最新的漏洞被利用了,备份数据吧。
|
|
11
Nexora OP |
 |
12
zhangsanfeng2012 2 天前
你这个是 pt 连接吧
|
|
13
muslim31214 2 天前  1
ss 里显示是 qbittorrent-nox 在连这个 IP ,正常 BT 行为。确认是自己装的/自己在下就没事,不用往被黑想;不需要就停服务+封出站
|
Select Language