昨天突然发现我服务器上的数据库连不上了,就想着登服务器看一下。这才发现服务器登录不上去。我的第一反应是服务器带宽被占用了,过了一会也登不上去,我意识到了出问题。去腾讯云上重启了服务器,然后才能正常登录。
首先感谢这些博客,不然我一个小菜鸡寸步难行:
文章1
文章2
文章3
文章4
今天有时间了,查看了一下昨天为什么会登录不上去;
问题排查
1.首先我用top命令,看了一下cpu内存什么的(防止被人拿去挖矿),发现一切正常
top
2.其次,我看了一下登录日志(last查看的是正常的登录日志),看了一下IP,没什么问题,挺正常的
last
3.这时候我就有点懵了,都正常,这是为什么呢。我突然临机一动试了一下lastb这个命令(列出失败尝试的登录信息)。
发现了大问题,登录失败的登录日志多的不得了,下面有截图;
lastb
这三个IP,一直在尝试登录我的服务器,查了一下IP地址,有广东,有俄罗斯,还找到了个葡萄牙的,基本上就确定了我服务器登不上的原因。用这个网站查的IP:https://www.ip138.com/
image.png
4.还有一个查看登录日志的命令utmpdump,这个更方便查看,来自文章2。
- /var/run/utmp(用于记录当前打开的会话)被who和w工具用来记录当前有谁登录以及他们正在做什么,而uptime用来记录系统启动时间。
- /var/log/wtmp (用于存储系统连接历史记录)被last工具用来记录最后登录的用户的列表。
- /var/log/btmp(记录失败的登录尝试)被lastb工具用来记录最后失败的登录尝试的列表。
查看登录失败的列表,分别找到了俄罗斯和葡萄牙两个大哥21号和22号的登录IP
utmpdump /var/log/btmp
image.png
image.png
解决办法
目前我知道的东西有
1.这两个大哥的IP;
2.他们不知道我的密码;
他们在用 用户名和密码试着懵对我的信息,但是他们试就把我服务器搞瘫痪了,我想了一下禁用他两个的IP,但是细想了也不行,人家换个IP就接着搞我。
问了一下大神,可以限制多次访问失败的IP限制登录。于是就找到了文章4;
配置的过程中,发现还有个自动运行的脚本,我以前没弄过,看了一下他运行的脚本,应该没什么大问题,我就没有管他,下面有我发现的脚本,有大神可以帮忙看看是什么东西;
image.png
image.png
网友评论