我遇到了大问题。我删除了域名,但有人仍在运行来自许多不同 IP 地址的脚本,现在甚至更多,以便进入并使用我的服务器发送垃圾邮件。
在 /var/log/syslog 中我不断看到出现新行:
Apr 2 01:55:35 158115 named[10131]: client 24.92.226.226#2100: query (cache) 'www.domain.com/A/IN' denied
Apr 2 01:55:35 158115 named[10131]: client 24.92.226.226#2101: query (cache) 'www.domain.com/A/IN' denied
Apr 2 01:55:35 158115 named[10131]: client 24.92.226.228#2969: query (cache) 'www.domain.com/A/IN' denied
Apr 2 01:55:35 158115 named[10131]: client 24.92.226.229#2050: query (cache) 'www.domain.com/A/IN' denied
我注意到至少有 20-50 个不同的 IP 地址。
有没有办法自动阻止这些尝试?
对于 ssh,我使用 fail2ban 并且没问题,但我不知道该如何应对......
答案1
根据评论,您不再有此日志。日志很有用!没有日志,您无法进行任何类型的诊断,也无法采取预防措施。某些服务(例如您提到的 fail2ban)完全依赖日志来完成其工作。建议您不要再次删除日志,直到您确信不再需要它们为止。
现在最好的选择是等待它再次发生。设置类似 OSSEC 的东西来监视你的日志,并在记录了太多故障时给你发电子邮件。