Debian
有人試圖連接到我的 VPS 嗎?
當我
journalctl -xe通過 OVH 在我的 VPS (Debian 9) 主機上發出命令時,我看到多次嘗試連接,這是否正常?這是日誌的一小部分:
-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE ST. -- Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333 8 [preauth] Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2 17 port 34630 ssh2 Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po rt 34630:11: Normal Shutdown, Thank you for playing [preauth] Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463 0 [preauth] Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217 user=root Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2 17 port 54154 ssh2 Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po rt 54154:11: Normal Shutdown, Thank you for playing [preauth] Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415 4 [preauth] Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:
是的,這很正常。
閱讀這篇關於“分析惡意 SSH 登錄嘗試”的有趣 symantec 文章。
以下是自 4 月 1 日以來我的伺服器登錄失敗的前 20 個帳戶名稱和嘗試次數:
2919 root 194 admin 122 test 83 zabbix 67 user 66 ftpuser 65 postgres 60 mysql 58 nagios 49 ubuntu 44 www-data 43 pi 42 support 42 oracle 39 jboss 36 guest 34 usuario 33 tomcat 32 dell 30 www
- 總共 9872 次嘗試,使用 2182 個不同的帳戶名稱。
- 每分鐘 0.8 次嘗試。
rootssh 登錄被禁用,其餘所有帳戶名不存在或具有/usr/sbin/nologin或/bin/false作為 shell。所以沒什麼好擔心的。我已
fail2ban安裝以減少每次可能的嘗試,但由於嘗試來自具有大量 IP 地址的殭屍網路並且fail2ban適用於 IP 地址,因此它不太有效。減少嘗試次數的下一個可能選項是更改
ssh埠。收集此資訊的命令:
grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \ | awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \ | sort | uniq -c | sort -nr | head -n20