很奇怪,我查看了 /var/log/secure (CentOS 6.2) 上的日志。因此,入侵尝试通常会被记录下来。但是,有一条这样的记录:
Connection closed by 76.XX.XX.X
但没有相应的“失败”或“接受”日志记录。这是成功入侵的案例吗?入侵者删除了日志记录,只留下断开连接后的日志?我该如何分析这种情况?我已将 iptables 配置为每分钟仅允许 SSH 尝试 2 次。“root”登录已禁用。
答案1
这只是意味着 76.xx.xx.x 打开了与 ssh 端口的 tcp 连接,然后在没有尝试进行身份验证的情况下关闭了它。