最近觉得服务器状态不是很对劲儿,平时啥东西都没跑,索性扒拉一下看看哪儿的问题。
一、有幸服务器被热心用户扫描爆破尝试密码(有视频为证)
(一)通过指令lastb查询了登陆失败的记录,输出结果令我大为震惊,登录记录显示,从8月的1号开始到昨天都一直有人在尝试登录我的服务器。真的是刺激到家了。
00:49
(二)登录失败的IP及次数统计(看看最高纪录)
cat/var/log/secure
awk/Failed/{print$(NF-3)}
sort
uniq-c
awk{print$2"="$1;}
我们恭喜这个61...IP地址喜提次最高纪录,让我们恭喜。
另外统计了一下,登陆失败的次数有个,也该算是这个好心人有耐心了。
(三)这些IP大部分是国外的,还有一部分是国内的地址,不排除好心人使用了网络代理;在我处理之前还在尝试登录,使用last命令查看登录成功的的IP,打码的都是我自己的IP地址,说明还没有登录成功。
二、着手防范处理
1、先添加IP到防火墙中,擒贼先擒王;找登录次数最多的先将其屏蔽掉;
2、我发现IP多的根本防不住啊,一个个加入防火墙这办法根本来不及;而且DediPath后台也没有检测异常;如果全部限制国外的IP,那也是个很大的工作量啊。
3、想到可能是因为SSH端口的问题,如果我另辟蹊径,不是常用端口的话是不是这个好心群众就不能连接了。我通过管理软件,暂时禁掉了22端口的连接,果然在15:22的时候,就没有了后续的登录信息了。
4、22端口不能使用了,就需要使用另一个端口来替换操作;并将其放通防火墙。
补充知识:SSH服务默认使用的端口是TCPPort22
三、添加白名单
通过最上面的视频不难发现,这好心人士用的不止一个IP地址。所以禁IP这个办法并不靠谱;既然不能禁止IP那么我看反向操作,只放通我自己的IP地址访问权限就好了;或者可以启用密钥登录。
四、重中之重------改密码
作为连接了互联网的服务器;为了安全起见密码要保持定期修改,并保持高度的复杂性;否则你的服务器就不一定是你的服务器了
下期找一个好用的手机投屏软件。
