有人能告诉我这是什么意思吗?我尝试了一个命令,比如lastb
查看上次用户登录,我看到一些来自中国的奇怪登录(服务器是欧盟,我在欧盟)。我想知道这些可能是登录尝试还是成功登录?
这些似乎很旧了,通常我只将端口 22 锁定到我的 IP,我想我已经打开该端口一段时间了,最后一次记录是在 7 月份。
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
答案1
lastb
只显示登录失败. 使用last
查看成功登录。
答案2
它显示有人试图上传或下载内容。“notty”部分表示没有 tty(其中 tty 是 teletype 的缩写),现在表示没有监视器或 gui,而 ssh 表示端口 22,它们合在一起表示类似 scp 或 rsync 的内容。
因此,这不是黑客攻击或登录尝试,而是密码错误或输入错误。某些内容可能是通过谷歌找到的,但需要有人试图猜出的密码。
实际上,经过深思熟虑,上述情况并不正确。它们可能是通过 ssh 失败的登录尝试,正如提问者所怀疑的那样;并且(我第一次没有注意到)它们以 21 或 22 分钟为间隔定期进行,这表明有一定程度的自动化,但lastb
根据定义显示失败,因此需要将这些结果进行比较last
以查看是否有任何成功。
答案3
关闭端口 22。配置您的 sshd 以监听不同的端口,然后安装并运行 deniedhosts。
答案4
是的,这些似乎是登录尝试,因为同一个 IP 使用多个用户名尝试登录。很可能是暴力攻击。
解决此问题的方法:
安装 Fail2Ban 并使用 -1 阻止失败的登录尝试,这会使他们的禁令永久生效。
添加 jail 文件来保护 SSH。使用 Nano 编辑器或 vi 、 vim 创建一个新文件
纳米/etc/fail2ban/jail.d/sshd.local
在上述文件中,添加以下代码行。
[sshd]
已启用=真
端口 = ssh
"#"action = firewallcmd-ipset
日志路径 = %(sshd_log)s
最大重试次数 = 5
银行时间 = -1