今天登录云主机,查看登录日志 lastb 发现 ssh又被暴力破解,使用 wc -l 统计,发现 在一天的时间被测试了17000多次。
还好我的密码够复杂,这种事情似乎 越来越频繁了。。
关于 Linux 命令 last 和 lastb 是非常有用的2个 命令,它们能够列出目前与过去登陆过系统的相关的登录信息。
last 指令,它会读取 /var/log/wtmp文件,将ip 登录者的ip 显示出来,而 lastb 则则读取 /var/log/btmp显示 登录不成功的,上面的截图就是 lastb 然后 用 wc -l 统计了一下,可以 看到 登录时间密集,且登录ip 也在变化。
last/lastb 的记录项,第一列为 登录者用户名 第二列 为登录方式一般为 ssh/telnet
,后面的notty 应该指的是 pts/0,就是使用软件登录终端,第三列是 登录的ip ,有可能是真实的肉鸡ip ,也可能是 伪造的ip ,若能及时使用tcpdump抓包,通过 ttl 、窗口大小,就能判断。
若是 日志文件太大了,则可以 用 echo > /var/log/wtmp(btmp) 清除即可。
最后说道说道被暴力破解登录密码,很难彻底阻止,但是可以 增加它的难度,比如这个 ssh吧,首先 ,可以 关掉ssh软件 root 登录权限,使用普通用户,然后 改掉默认的22端口,最后,可以 把密码 搞的又长又难,被暴力破解几乎不可能,除非黑客有足够的耐心可以等很久。。
,
