我相信有东西正在试图进入我的系统,而且有些东西已经进入了我的系统,并且有一个进程正在重写我的数据库。我现在已经关闭了邮件,但由于没有邮件发出的日志,所以这似乎已经卡住了。
这是我上次登录时间 10:39:05 UTC:
ssh [email protected]
[email protected]'s password:
Last failed login: Sun Aug 14 10:31:45 UTC 2016 [8 minutes prior] from 116.31.116.18 on ssh:notty
There were 222 failed login attempts since the last successful login.
Last login: Sun Aug 14 04:11:35 2016 [previous evening, this was me] from 123.456.789.012 (my IP)
我是唯一使用该服务器的人。另外,116.31.116.18是澳大利亚以外的 IP 地址,基于http://whois.urih.com/record/116.31.116.18/
昨晚我这样做了:
service crond stop
它说 crond 不活动,但今天早上它又说它又活动了。
如何彻底卸载cron?目前这将是安全的选择。
答案1
您的代码片段并未显示任何人进入您的系统,仅显示有人尝试。不幸的是,这是完全正常的。 任何在 TCP/22 打开的情况下在 Internet 上可见的计算机将进行多次登录尝试。您可以通过以下方式减少其中任何一个成功的机会
不允许root登录。使用(或创建)普通用户进行连接,并
PermitRootLogin no在sshd_config.不使用密码。设置公钥身份验证任何系统是公开可见的,并禁止所有带有配置项的密码尝试
PasswordAuthentication no。指定哪些用户(大概只有您)可以使用该指令登录(或者,对于更复杂的设置,可以使用、、和
AllowUsers的适当组合)。DenyUsersAllowUsersDenyGroupsAllowGroups
至于 cron,如何停止它取决于 Linux 的风格以及crond你正在使用的风格。要禁用守护进程(而不是单个用户的 crontab),您可以尝试类似的操作
service cron stop
或者
systemctl stop cron
如果它在您停止后重新出现,请检查/etc/inittab是否没有该respawn守护进程的条目。
答案2
您可以使用以下命令删除 crond:
crontab-r
The current crontab will be removed.
Current crontab表示当前用户,您可以使用whoami并查看您的用户。