当我通过 OVH 在我的 VPS (Debian 9) 主机上发出命令时journalctl -xe,我看到多次尝试连接,这正常吗?
这是日志的一小部分:
-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE
ST. --
Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333
8 [preauth]
Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2
17 port 34630 ssh2
Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po
rt 34630:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463
0 [preauth]
Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root
Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2
17 port 54154 ssh2
Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po
rt 54154:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415
4 [preauth]
Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:
答案1
是的,这是正常的。
阅读这篇关于“的有趣的赛门铁克文章”分析恶意 SSH 登录尝试”。
以下是自 4 月 1 日以来我的服务器登录失败的前 20 个帐户名称和尝试次数:
2919 root
194 admin
122 test
83 zabbix
67 user
66 ftpuser
65 postgres
60 mysql
58 nagios
49 ubuntu
44 www-data
43 pi
42 support
42 oracle
39 jboss
36 guest
34 usuario
33 tomcat
32 dell
30 www
- 总共 9872 次尝试,使用 2182 个不同的帐户名。
- 每分钟 0.8 次尝试。
rootssh 登录被禁用,其余所有帐户名不存在或具有/usr/sbin/nologin或/bin/false作为 shell。所以没什么好担心的。
我已经fail2ban安装了它来减少每次可能的尝试,但由于尝试来自具有大量 IP 地址的僵尸网络,并且fail2ban对 IP 地址起作用,因此效果不太好。
减少尝试次数的下一个可能选择是更改端口ssh。
收集此信息的命令:
grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \
| awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
| sort | uniq -c | sort -nr | head -n20