URL strano mostrato quando telnet al mio server [chiuso]

2

Non so come chiederlo perché questo è qualcosa di nuovo per me, provo telnet al mio server e l'output è stato così:

Trying <IP>...
Connected to www.tjto6u0e.site.
Escape character is '^]'.

Poi ho provato netstat -a | grep www.tjto6u0e.site , ho trovato questo:

Sto usando Ubuntu ed è stato compromesso prima, ma ho scansionato il mio server ed eliminato tutti i file infetti, inclusa la mia porta ssh predefinita (22) ad un'altra, ma questa, non capisco cos'è questa circa, è normale o qualcosa di cui dovrei preoccuparmi?

Ho controllato questo IP 43.252.11.213 da netstat -an e reindirizzato a un URL bulan.loket.co.id , non ho idea di cosa stia succedendo, significa che il mio sito è stato copiato su un altro dominio?

    
posta spacetrack 22.08.2017 - 04:15
fonte

2 risposte

26

is this normal [that the my server login reports a different domain]

Certo che no.

I am using ubuntu and it was compromised before

Bene ... non avresti dovuto continuare a usarlo.

but I have scanned my server and delete all infected files

Gli scanner antivirus su una macchina già compromessa sono piuttosto inutili. (Ancora più inutile che in altre occasioni).

including changing my default SSH port (22) to another one

  1. Questo problema?
  2. Questo importa se stai usando telnet ?

E perché stai usando Telnet !?

I checked this IP 43.252.11.213 ... and redirected ...

Non avresti mai dovuto chiamarlo in un browser.

is it meant that my site is copied to other domain?

No. Beh, forse, ma non è questo il problema. Fino a prova contraria, supponiamo che qualcun altro abbia il pieno controllo del tuo server (inclusi tutti i contenuti, ma anche tutte le altre cose che il computer può fare).

Che cosa dovresti fare ora:

  1. Cerca di scoprire come il tuo server è stato compromesso e risolvilo (la probabilità è bassa se trovi il motivo). Modificare anche tutte le password, abituarsi agli aggiornamenti software regolari, alle chiavi SSH, fail2ban e così via.
  2. Pulisci il server e ricomincia da capo installando un sistema operativo, tutto il software necessario e tutte le configurazioni necessarie / desiderate.
risposta data 22.08.2017 - 05:15
fonte
7
Trying <IP>...
Connected to www.tjto6u0e.site.
Escape character is '^]'.

Il nome host dato dopo Connected to è solo la risoluzione DNS dell'IP che hai fornito a telnet. L'unica cosa che può davvero mostrare è un DNS configurato in modo errato, anche se suppongo che sia stato configurato correttamente che potrebbe essere un segno di accesso non autorizzato.

Anche l'output netstat (senza l'uso di -n ) fa una risoluzione DNS, quindi ha senso che tu veda lo stesso nome lì.

Il riepilogo è che ciò che mostri non è una prova sufficiente di accesso non autorizzato senza più contesto, ma non è nemmeno provato che non ci sia stato.

    
risposta data 22.08.2017 - 12:33
fonte

Leggi altre domande sui tag