今天看系统日志的时候,发现有人正在进行ssh密码暴力破解,

查看ssh连接IP个数_暴力

查看IP来自泰国,不过也不排除是有人使用了跳板。

因为刚入职新公司,还没做安全设置。所以给了cracker可乘之机。

使用

  1. cat /var/log/messages  |grep   sshd 

查看最近的sshd暴力破解记录,晕了,

居然一大堆。

但是这样看数据太多了,其中也包括了正常登录的情况。无法显示每个人的登录IP次数,

于是使用

  1. cat /var/log/messages  |grep  sshd |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'| sort | uniq -c 

查看,这样清晰多了。

查看ssh连接IP个数_暴力_02

居然有达到1万多的,果断禁止IP。

其实还可以通过denyhosts工具来防止ssh暴力破解实现自动禁止IP。不过我这台机器

由于是以前开发人员安装的,资源分配不合理,下周就要替换下来。所以,目前木有

安装此工具。