最近,在网站崩溃后,我登录了服务器并重新启动它,发现自几天前最后一次成功登录以来,服务器的登录失败次数已超过 50,000 次。因此,我首先运行了“last”命令,没有发现任何可疑的成功登录,然后运行了“lastb”,得到了一个主要来自中国和类似 IP 的大量列表。
负责处理这些事情的主要人员现在正在度假,所以我正在慢慢地自学;我只是想知道这是否可能是导致服务器崩溃和减速的原因,这是否是一次攻击或一次黑客攻击企图,以及修复它的建议。
答案1
fail2ban 是一款很棒的软件包,在大多数 Linux 发行版中都可用。它会监视失败的登录尝试,并在多次阻止该 IP 地址一段时间后进行阻止。您可能需要考虑安装它。
如果有足够多的人以足够快的速度尝试登录,则可能会造成高负载。
答案2
人们一直在通过互联网敲你的门,试图找到进入和滥用你的系统的方法。这似乎不太可能是导致你的系统崩溃的原因(但不能完全排除)。
您应该查看系统日志,看看在系统出现问题时或前后是否有任何相关/有趣的消息,以找出问题所在。我发现科学的方法在这种情况下,这是一个有用的工具。
答案3
您可以阻止不必要的登录尝试的 IP 范围。
我正在用公共 IP 1.2.3.4 编写一个演示
将 1.2.3.4 替换为您获取登录尝试的 IP 地址。
要阻止 1.2.3.* 地址范围:
iptables -A INPUT -s 1.2.3.0/24 -j DROP
阻止 1.2。。地址范围:
iptables -A INPUT -s 1.2.0.0/16 -j DROP
阻止 1。。.* 地址范围:
iptables -A INPUT -s 1.0.0.0/8 -j DROP
决定要阻止的范围后,保存对 iptables 所做的更改。
iptables-save
但使用此方法时要小心阻止的内容。这将阻止来自该 IP 范围的所有流量。