我在 Ubuntu 上运行自己的 DigitalOcean Droplet。今天,我发现在使用 Droplet 时,我的 SFTP 连接有点滞后,所以我检查了/var/log/auth.log文件以查看发生了什么。
我发现在过去 7 天左右的时间里,我遇到了大量来自各种 IP 地址的 SSH 登录失败(每分钟一次)。它们看起来大多是字典攻击,因为使用了很多随机用户名。
我有一个基本的 IPTABLES 配置,可以预先阻止连续的 SSH 连接,并且我通过禁止登录和将我的 SSH 端口从 22 更改来增强我的安全性。root我还将我的登录密码更改为我的特权帐户。
我不知道我遭受这种字典攻击多久了,我的日志没有显示任何可疑的成功登录。我的问题是,我是否应该担心这种字典攻击可能成功登录?我担心这些机器人可能在通过 成功登录时安装了恶意软件root。
答案1
尽管如果您的 root 密码很强大,成功的可能性不大,但您可以使用类似工具来检查是否存在恶意软件,tcptrack看看服务器是否有任何可疑的连接。
除非恶意软件与外界沟通,否则很难确定在哪里潜在攻击者会将上述恶意软件放入其中,因为一旦你拥有 root 访问权限,你就会受到攻击,并且该人可以完全控制系统上的所有内容。如果你确信有人获得了 root 访问权限,最好的做法是将你需要的所有数据从 droplet 中转移出来,然后重新开始,确保遵循更好的安全实践,这样这种攻击就不再可能发生
为提高安全性,您可以采取的另一个措施是拒绝任何类型的密码验证,并将其限制为仅公钥认证因此这种字典攻击是无效的
如果出于任何原因你有要使用密码(大多数情况下不需要,并且强烈不推荐),您可以设置knockd使用端口敲击来确保攻击者无法确定 ssh 所处的端口。请注意,这只是通过隐蔽性实现的安全性,您仍然需要强密码/密码短语。