一位客户通过电子邮件向我透露,他们的提供商将因 ssh 攻击而关闭服务器。
我登录到服务器,发现有很多 ssh-scan 进程,并且 /tmp 中有一些奇怪的文件。我不得不关闭它,因为我不知道该怎么办。在重建服务器之前,有没有办法可以找出这种情况是如何发生的,以防止再次发生?
答案1
SSH 扫描通常是暴力攻击。他们只是尝试使用常见的用户名和简单、常见的密码。我曾见过使用guest密码为“guest”的帐户来破坏系统的情况。叹。
大多数机器一直都喷有这样的包。作为一揽子解决方案,我喜欢在防火墙上做两件事:
使用
geoip和ipset仅允许从特定国家/地区访问端口 22/tcp。.cn例如,这些攻击中源自网络块的攻击比例异常高。对 22/tcp
SYN数据包使用速率限制,以便同一 IP 地址每分钟只能连接 N 次,然后才会被阻止 10 或 15 分钟。这可以阻止扫描软件,也可以减缓对其他人网络的潜在损害。这是一项社区服务。
根据您的需求和限制,还有其他方法。
在目标计算机本身上,您还应该锁定系统帐户并实施禁止简单密码的密码策略(单词列表检查、最小长度等)。
答案2
检查网络服务器日志中的错误模式和访问日志。从错误日志开始。与 auth.log 相同,用于暴力登录攻击。如果您只是在 SSH 上使用相同的 Web 应用程序或密码重建服务器,那么只需几天您就会再次遭到黑客攻击。