我无法访问我在 AWS 上托管的实例。密钥配对停止工作。我分离了一个卷并将其附加到一个新实例,我在日志中发现一长串
Nov 6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: Invalid user cyrus from 210.193.52.113
Nov 6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: input_userauth_request: invalid user cyrus [preauth]
Nov 6 20:15:33 domU-12-31-39-01-7E-8A sshd[4925]: Received disconnect from 210.193.52.113: 11: Bye Bye [preauth]
“cyrus” 被数百甚至数千个常用名称和项目所更改。这可能是什么?暴力攻击还是其他恶意攻击?我追踪到 IP 到新加坡,但我与新加坡没有任何联系。
我以为这是一次 DoS 攻击,因为我失去了访问权限,服务器似乎停止工作了。我对此不太熟悉,但欢迎提出有关此问题的想法和解决方案。
答案1
由于您使用的是 AWS,因此防止互联网访问您机器上的 sshd 的简单方法是拒绝实例 secgroup 中的 tcp/22,并将实际需要连接的几个 /32 添加到 secgroup 中。
ec2-revoke [secgroup] -P tcp -p 22 -s 0.0.0.0/0
ec2-authorize [secgroup] -P tcp -p 22 -s [your-ip-addr]/32
(您也可以通过 aws gui 执行此操作,但这很麻烦)
作为第二层安全性,您可以对主机上的 iptables 执行与线程中提到的相同的操作。
通过执行其中一项或两项操作,tcp/22 将不会向互联网开放,并且您的日志不会被淹没。