目录

• 1 缘起
• 2 可能原因
• 3 求助大佬
• 4 一点猜测
• 5 反思
• 6 附件

缘起 {#i}

小白自己是写了一个自己用的小鸡重装首次运行脚本，主要就是装好一些常见的程序，然后git clone一些我个人常用的仓库，其中包括：https://github.com/seal0207/EasyRealM 这个realm的安装脚本，其实已经很久不用的，但是脚本也就一直懒得改了。最近，某一天，我登录小鸡，偶然间，发现EasyRealM目录下，跑起了一个名称为1的进程，也没用它安装realm，今天突然发现多了一个叫1的进程，监听了我的2019端口，目录里面也多了一个名称为1的可执行文件，如下图：

尝试运行了一下那个文件：

可能原因 {#i-2}

有坛友指出，也许就是realm本身：

目测这个1就是realm，如果是几MB的话那肯定就是了，GO屙出来的东西又臃又肿

小白去看了下大小，有12M，感觉不像......

求助大佬 {#i-3}

小白去询问了两位大佬，大佬的分析如下：

这是1这个可执行文件的日志：

ip: 10.0.4.1/29, web: http://10.0.4.2:80, mode: web

看起来，监听了一个内网端口，起了一个内网80的web页面，可是他监听一个内网端口又啥用呢？另一位大佬一语点醒梦中人：

那就只有可能是ssh被爆破了，不然不可能平白无故多了一个可执行文件，然后查看了一下ssh登录记录，果然......寄......

然后看了一下，登录日期，去年的十月份，就被爆破了......

一点猜测 {#i-4}

对方貌似是先爆破了我的一台机器，然后和我的另外几台机器组类似于TUN内网，通过TUN出去的......我不知道对方目的是啥......下面是我找到的几个登录IP：

大佬，潜伏了好几个月了，小白我感谢大佬的不杀之恩，真的......

关于那个进程，小白不知道是用来干啥的......待会我会把可执行文件和日志放在文章结尾，各位懂得大佬，可以自行研究。

反思 {#i-5}

放弃密码登录，改用密钥登录，不要用默认22端口，还有保护好自己的私钥......

附件 {#i-6}

可执行文件：

https://yun.vpsxb.net/download/1

日志（其中x.x.x.x为我自己的IP，其他IP为未知IP）：

https://yun.vpsxb.net/download/log

还望大佬不吝赐教。