如何确定我的Linux机箱是否已被渗透?
发布时间:2020-12-13 18:26:31 所属栏目:Linux 来源:网络整理
导读:我最近读了一篇关于分析恶意SSH登录尝试的 article.这让我想到,我的Debian盒子上的SSH用户名,密码组合是不常见的?我是否被蛮力字典攻击作为目标?我们来看看/var/log/auth.log.0: Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.
|
我最近读了一篇关于分析恶意SSH登录尝试的
article.这让我想到,我的Debian盒子上的SSH用户名,密码组合是不常见的?我是否被蛮力字典攻击作为目标?我们来看看/var/log/auth.log.0:
Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190 Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190 Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190 Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190 Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190 Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190 Sep 23 07:42:35 SLUG sshd[8315]: Invalid user tylar from 210.168.200.190 Sep 23 07:42:40 SLUG sshd[8317]: Invalid user tyler from 210.168.200.190 Sep 23 07:42:45 SLUG sshd[8319]: Invalid user tylerfrank from 210.168.200.190 Sep 23 07:42:50 SLUG sshd[8321]: Invalid user tyliah from 210.168.200.190 Sep 23 07:42:55 SLUG sshd[8323]: Invalid user tylor from 210.168.200.190 所以这看起来不太好.现在我知道我已成为攻击的目标,而且我的一些用户名,密码组合很弱,我想知道我怎么能…… > …确定我的Linux机箱是否已被渗透? UPDATE 有关撤消肇事者留下的任何损害的任何建议吗? 解决方法
很多人似乎都建议DenyHosts,但我在我的系统上看到了
Fail2Ban的很多成功.它监视(可配置的)失败次数,然后在我的服务器上执行操作,该操作是使用iptables丢弃来自主机的所有流量.在10次登录失败后,他们被禁止,这就是结束.
我将它与Logcheck结合使用,以便我始终知道我的服务器上发生了什么. 如果您有任何证据证明某人实际已经闯入您的系统(您发布的日志不是此证据),那么您唯一的解决方案是备份您需要保留的所有数据,擦除机器,重新安装和恢复来自备份.否则,没有办法确定. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |