检查我的 centos 服务器上的 /var/log/secure 时,发现很多使用未知用户名的登录尝试都失败了,这些用户名来自日本和中国的 IP 列表
如何向这些聪明的家伙或工具隐藏我的服务器;-)
以下是日志片段
Aug 27 12:07:06 EEHB-VM1 sshd[1191]: subsystem request for sftp
Aug 27 12:08:09 EEHB-VM1 sshd[1191]: pam_unix(sshd:session): session closed for user root
Aug 27 12:24:03 EEHB-VM1 sshd[1375]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root
Aug 27 12:24:04 EEHB-VM1 sshd[1377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root
Aug 27 12:24:06 EEHB-VM1 sshd[1377]: Failed password for root from 106.186.113.82 port 7176 ssh2
Aug 27 12:24:07 EEHB-VM1 sshd[1378]: Connection closed by 106.186.113.82
Aug 27 12:24:07 EEHB-VM1 sshd[1375]: Failed password for root from 106.186.113.82 port 7176 ssh2
Aug 27 12:24:07 EEHB-VM1 sshd[1376]: Connection closed by 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: Invalid user fluffy from 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1884]: input_userauth_request: invalid user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): check pass; user unknown
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: Invalid user fluffy from 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1886]: input_userauth_request: invalid user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): check pass; user unknown
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy
Aug 27 12:49:33 EEHB-VM1 sshd[1883]: Failed password for invalid user fluffy from 106.186.113.82 port 53242 ssh2
Aug 27 12:49:33 EEHB-VM1 sshd[1884]: Connection closed by 106.186.113.82
Aug 27 12:49:34 EEHB-VM1 sshd[1885]: Failed password for invalid user fluffy from 106.186.113.82 port 45149 ssh2
Aug 27 12:49:34 EEHB-VM1 sshd[1886]: Connection closed by 106.186.113.82
这种行为非常频繁并且在短时间内重复发生。
我怀疑这是一种欺诈性访问尝试,想知道我该如何处理它们。
有趣的是:即使该网站尚未上线,并且也禁止使用机器人,他们是如何知道 IP 地址的?
编辑1:也许我可以选择这些 IP 地址并限制它们进入防火墙。但是有没有办法不让它们尝试这种恶作剧行为,而是每天查看访问日志并在防火墙中添加其他一些规则?
附言:如果有人能给我一个示例 iptable 规则片段来处理这些 IP,我将不胜感激 ;-)
答案1
需要澄清的是,这些是 SSH 攻击,而不是 FTP。任何具有公共 IP 的服务器都会遇到这些攻击 - 机器人会随时扫描整个 IPv4 地址范围(暴力破解 SSH/FTP、寻找未打补丁的 WordPress 安装等)。只要您使用良好的安全实践(基于密钥的身份验证、强密码),这些攻击就只是噪音,但人们经常使用类似失败2ban几次身份验证失败后自动阻止尝试。