最近因为家里更换了移动线路,服务器的远程VPN连不上(目前属于移动后台问题,还在处理当中),在查询故障原因的时候偶然发现服务器的SSH端口不断有人attack。下面把处理方法如下:
查看日志
tail -f /var/log/secure
日志当中包含大量未知用户名和弱口令的登录信息,具体如下
Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Failed password for invalid user jenkins from 36.155.115.72 port 39234 ssh2
Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Received disconnect from 36.155.115.72 port 39234:11: Bye Bye [preauth]
Feb 26 16:30:16 instance-ppegfkxa sshd[27827]: Disconnected from 36.155.115.72 port 39234 [preauth]
Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: Invalid user irc from 125.91.112.127 port 58356
Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: input_userauth_request: invalid user irc [preauth]
Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: pam_unix(sshd:auth): check pass; user unknown
Feb 26 16:30:18 instance-ppegfkxa sshd[27931]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.91.112.127
根据统计,这是其中一部分,IP地址来自世界多地,但攻击频率不高,应该是被当肉鸡扫描了。
攻击IP 攻击次数
99.153.45.121 2
119.97.240.83 4
36.155.115.72 4
125.91.112.127 2
106.12.86.205 1
........
处理方法:修改默认端口号
[root@server ~]# vim /etc/ssh/sshd_config
#Port 22
Port 12345 #其他空闲端口号
最后添加防火墙端口放行即可
注:以上资料来自互联网,已实际测试。
网友评论