今天看系统日志的时候,发现有人正在进行ssh密码暴力破解,
查看IP来自泰国,不过也不排除是有人使用了跳板。
因为刚入职新公司,还没做安全设置。所以给了cracker可乘之机。
使用
- cat /var/log/messages |grep sshd
查看最近的sshd暴力破解记录,晕了,
居然一大堆。
但是这样看数据太多了,其中也包括了正常登录的情况。无法显示每个人的登录IP次数,
于是使用
- cat /var/log/messages |grep sshd |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'| sort | uniq -c
查看,这样清晰多了。
居然有达到1万多的,果断禁止IP。
其实还可以通过denyhosts工具来防止ssh暴力破解实现自动禁止IP。不过我这台机器
由于是以前开发人员安装的,资源分配不合理,下周就要替换下来。所以,目前木有
安装此工具。