这是服务器被强行尝试登录的意思?


#1

如题 今天突然就看了看日志
然后看到了下面的图


九百多这才半年多点。。。。。。
日志在/var/log/secure里面
cat -n secure | grep “not receive identification string”


#2

是的。它在尝试你的用户名密码组合。服务器一定要加 fail2ban 并禁止用户名密码登录(用证书登录)。即使不禁止,也别用 root,用户名和密码都要用随机生成的。


#3

感谢 刚才试了一下sshd_config的 permitrootlogin forced-commands-only 结果现在我自己都登录不上了:joy:


#4

你得先配置 key 登录呀


#5

以前是permitrootlogin yes 然后刚才大概看了一下 设置成上面那个结果重启sshd 我退出后登不上了。。现在只能手机登录从新改了。。。。


#6

陛下, 我在/var/log下面没有找到secure呀? 我也想看看有没有人在撬我的锁2333 这个文件在哪里?~


#7

他只说了服务器,也没说是 openSUSE 的服务器啊。

systemd 不用 /var/log/secure,用 journalctl -u sshd 看


#8

看到啦~ 谢谢陛下!


#9

恩 服务器是CentOS 6.10
目前看了看 对比我的需求(需要ssh+rsync备份+禁止root用户名密码登录)基本就是现在的配置上改一下
PermitRootLogin without-password

https://www.novell.com/support/kb/doc.php?id=7007565这里说的方法太难搞了 command 给的命令不够用。。。。 安全倒是看着挺安全的


#10

fail2ban 从https://github.com/fail2ban/fail2ban.git源码安装了一下 明天继续配置 谢谢推荐


#11

看了一下日志 把那些ip分类提出来一看
我去~
21个地址对服务器进行轮番尝试登录
每个ip地址的登录次数都是一样的 这个。。。。

23.252.101.130
144.202.112.137
216.218.131.142
107.161.88.45
35.197.10.99
173.255.209.253
165.227.48.82
169.54.194.61
50.7.8.99
168.235.67.174
192.184.82.36
118.190.153.219
106.15.53.46
222.186.161.97
123.206.200.34
101.200.192.231
120.24.218.86
118.89.29.223
140.143.93.196
120.27.8.191
123.207.145.245

#12

21个IP地址 来自美国11个 中国10个
每个IP产生的错误信息数量都是35个
这更像是有目的有计划的攻击。。。。


#13

大概是在用脚本扫吧
说起来自己的翻墙vps貌似也相当不安全的样子


#14

举报了 玛德 估计举报没效果 只能自己加强防护了


#15

你的服务器估计在香港或者亚太地区吧,欧美的机子受攻击较少,毕竟可用性没有亚太地区那么大,密码组合不得劲的话,你可以试试用xshell上密钥


#16

瓦工CN2专线 现在key+禁止root+fail2ban+denyhosts