V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
bwangel
V2EX  ›  云计算

我这样算是被黑了吗?

  •  
  •   bwangel · 2016-04-08 08:00:49 +08:00 · 4765 次点击
    这是一个创建于 3154 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚刚登上去阿里云,查看了一下lastb,发现了这样的情况:

    root@iZ28ixp0n70Z:~# lastb 
    support  ssh:notty    109.161.198.36   Thu Apr  7 17:08 - 17:08  (00:00)    
    support  ssh:notty    109.161.198.36   Thu Apr  7 17:08 - 17:08  (00:00)    
    root     ssh:notty    109.89.159.19    Mon Apr  4 22:39 - 22:39  (00:00)    
    root     ssh:notty    213.182.96.27    Mon Apr  4 11:29 - 11:29  (00:00)    
    root     ssh:notty    213.182.96.27    Mon Apr  4 11:27 - 11:27  (00:00)    
    root     ssh:notty    2.234.148.20     Fri Apr  1 12:09 - 12:09  (00:00)    
    root     ssh:notty    31.204.83.14     Fri Apr  1 09:17 - 09:17  (00:00)
    

    发现有德国和法国的 ip(百度查到 ip)通过 root 登录过,可以确定,绝对不是我自己登录的,我这段时间没上来过,不过很奇怪是ssh:notty,这样时被黑了吗?还是有什么服务?

    16 条回复    2016-04-09 14:15:39 +08:00
    bwangel
        1
    bwangel  
    OP
       2016-04-08 08:03:17 +08:00
    好吧,我错了,这是尝试登录失败的,这是被别人试密码了吗?
    hanzexu990323
        2
    hanzexu990323  
       2016-04-08 08:08:39 +08:00 via Android
    @bwangel 要是 22 端口的话被试密码多正常,换成私钥登录然后再换个非常用端口吧
    gimp
        3
    gimp  
       2016-04-08 08:08:53 +08:00 via Android
    借地问一下,有什么便捷的记录别人尝试登录的密码的方法吗
    fordoo
        4
    fordoo  
       2016-04-08 08:32:52 +08:00
    @gimp 日志里面有, awk 统计一下可以的 以前喜欢用 fail2ban 来自动屏蔽试密码的 ip
    loading
        5
    loading  
       2016-04-08 08:37:38 +08:00 via Android
    @fordoo
    fail2ban +1
    qgy18
        6
    qgy18  
       2016-04-08 10:37:39 +08:00
    配好 SSH Key 登录后,直接禁用 root 登录,禁用使用密码方式登录:

    PermitRootLogin no
    PasswordAuthentication no

    如果还不放心的话,再加上 fail2ban 。
    nellace
        7
    nellace  
       2016-04-08 10:45:03 +08:00
    禁用 root 登陆+换其他端口代替 22 端口登陆+fail2ban
    aliyunservice
        8
    aliyunservice  
       2016-04-08 11:02:46 +08:00
    您好,感谢您对阿里云的支持!阿里云的态势感知服务可以看到安全威胁,可以帮助您建设自己的安全监控和防御体系!另外,您可以通过阿里云提供的补丁管理强化服务器安全,也可以使用阿里云专家服务解决安全问题。
    gbcbooks
        9
    gbcbooks  
       2016-04-08 12:09:14 +08:00 via Android
    @fordoo 我也是,不过后来我开了 mail 警告,结果大量发邮件!他们强制把我的 vps 关了,并要求我检察!我觉得还是算了,换个端口就没事了!
    TroyChen
        10
    TroyChen  
       2016-04-08 13:16:58 +08:00
    fail2ban +10010
    kiwi95
        11
    kiwi95  
       2016-04-08 13:38:11 +08:00
    配置密钥登录,禁用密码登录,修改 ssh 端口,前段时间总结了: http://blog.wuxu92.com/protect-remote-server-by-ssh-config/
    artandlol
        12
    artandlol  
       2016-04-08 13:50:17 +08:00
    fail2ban +10086
    lastlog 看下最近登陆情况
    loryyang
        13
    loryyang  
       2016-04-08 13:53:51 +08:00
    这个世界好危险,赶紧给自己的主机加了一个 fail2ban
    Millyn
        14
    Millyn  
       2016-04-08 15:21:35 +08:00
    1. 创建一个普通用户
    2. 禁止 ROOT 登入
    3. 更换登入端口
    4. 换端口之前记得在防火墙里添加新端口的链接 否则你就咖喱给给了.
    akira
        15
    akira  
       2016-04-08 16:35:29 +08:00
    非常用地理位置登陆的话,阿里云盾好像是有短信通知的
    bwangel
        16
    bwangel  
    OP
       2016-04-09 14:15:39 +08:00
    OK ,我去换个端口吧!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3439 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 11:40 · PVG 19:40 · LAX 03:40 · JFK 06:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.