ssh攻击

经朋友提醒，意识到自己的服务器可能被SSH攻击，于是赶紧查了日志。

sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

1	sudo grep "Failed password for root" /var/log/auth.log \| awk '{print $11}' \| sort \| uniq -c \| sort -nr \| more

结果是：

10409 91.234.184.21
3412 Failed
1771 43.229.53.67
  1125 182.100.67.59
  270 218.87.109.253
  250 158.85.76.188
  233 27.191.209.88
153 120.26.71.98
  148 218.65.30.92
  107 115.238.81.90
  70 222.186.21.100
  31 202.38.193.142
27 218.98.39.43
  20 121.40.158.23
  18 218.5.9.226
17 218.28.152.162
  15 222.186.21.71
  14 123.59.55.83
  13 119.167.156.38
12 27.254.67.157
  12 103.6.223.61
  11 201.166.63.25
  11 119.163.120.202
10 193.189.117.120
  10 107.150.19.184
  9 210.107.37.81
  9 202.99.207.123
  8 203.94.70.125
8 180.210.201.106
  6 31.184.195.111
6 187.62.210.26
…

这是要死的节奏啊，果然被试密码，仔细检查了日志，好在还没被破解，但是这样的事情很让人心烦！于是决定做一些预防措施。

换端口号，并禁止root登陆

netstat –apn | grep [myport]

1	netstat –apn \| grep [myport]

测试不会冲突后修改

sudo nano /etc/ssh/sshd_config

1	sudo nano /etc/ssh/sshd_config

找到

Port 22

修改为自己想要的端口，找到

PermitRootLogin yes

改为 no 。

SSH攻击的检测与预防

其他操作