奇怪的“上次登录”ip SSH

您提到了 cronjob 随机运行；您是否检查过 cronjobcrontab -l是否有任何异常？被入侵的帐户是 root 帐户吗？即使不是，如果您有 root 访问权限，您是否也检查过 root 帐户的最后登录和 cron 条目？

我见过字典攻击定期从世界各地的 IP 地址向我管理的 SSH 服务器发送请求。如果您使用密码验证，并且不使用强密码，有人可能也会猜出您的新密码。

如果您控制服务器，即您具有 root 访问权限，如果您知道只需要从有限数量或范围的 IP 地址使用 SSH 连接到服务器，请创建防火墙规则以仅允许从您需要连接的 IP 地址进行 SSH 访问。

此时，如果攻击者可能已获得 root 访问权限，则很难排除攻击者未安装某些软件以允许自己通过其他方式（可能是通过修改系统文件）进行访问的可能性，因此最安全的做法是重新安装操作系统和所需的所有应用程序。如果这不可行，您是否可以从系统外部的某个点（例如服务器前面的防火墙）控制和监视对系统的访问？

另请参阅服务器故障问题我如何知道我的 Linux 服务器是否已被黑客入侵？了解您可以采取的行动建议。例如，Ian Purton 建议使用命令find /etc /var -mtime -2查看这些目录中的文件在过去两天内是否发生过更改。将 替换为适当的天数-2。您也可以运行chkroot工具正如其他人所建议的那样。

如果您使用的防火墙软件允许您指定完整域名除了防火墙规则的 IP 地址外，您还可以指定允许来自 muki.mydomain.com 之类的网站的访问，然后使用动态域名解析服务，例如无IP，这样任何新的 IP 地址都会与 muki.mydomain.com 相关联。No-IP 提供免费服务级别，您可以使用他们的一个域名，但可以为您的主机指定类似 muki.noipdomain.com 的域名。然后，您在用于 SSH 客户端的系统上安装软件，该软件会定期将其 IP 地址报告给 No-IP DNS 服务器。然后，这些服务器会将 muki.mydomain.com 或 muki.noipdomain.com 转换为分配给您尝试建立 SSH 连接的系统的任何当前 IP 地址。

或者您可以通过以下方式控制访问公钥/私钥，而不是密码。也就是说，只有当某人拥有与服务器上帐户的公钥相对应的私钥时，他才能登录 SSH 服务器上的帐户。如果禁用密码验证，而是通过公钥/私钥限制访问，则密码猜测将不起作用。只有拥有与服务器上帐户的公钥相对应的私钥的人才能通过 SSH 登录该帐户。我不使用 WHM，但有一篇文章WHM / cPanel：已禁用 SSH 和 Root 登录关于如何使用 WHM 来实现这一点。

创建新的用户帐户。

密码8+数字1+大写字母1+小写字母1+符号1+特殊字符。

使用 iptables 和/或 ipset 来阻止您不会来自的 ip，或者为您将来自的 CIDR ip 创建允许规则。

安装并配置 fail2ban，以防他们试图暴力破解你。