sshd:root@notty: linux 被暴力登录处理

最新推荐文章于 2024-05-15 18:00:10 发布
最新推荐文章于 2024-05-15 18:00:10 发布
阅读量1.3w 收藏 8
点赞数 4
分类专栏: Linux 文章标签: linux 网络安全 ssh 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangfeng61/article/details/119792115
版权

一、背景

今天打开自己的私有服务器,猛然间发现最近登录失败将近2000次, 登录失败的ip 134.209.236.115 德国法兰克福。一顿吃鲸。。。。

由于我是私有服务器,在进行外网和内网ssh的端口映射时已经提前改为非22端口了,这算是第一道防线。密码设置也相对复杂,所以比较幸运的是,还好还未被攻破,赶紧处理一番

二、常规处理方案
1、修改公网的端口和内网端口映射为不常见的端口(一般ssh端口默认是22)。如果是阿里、腾讯云服务,则可以变更ssh端口为非22端口.同时配置安全策略组。

2、修改root 用户不可远程登录

3、限制ip登录(指定ip可进行远程登录访问服务器)

三、问题处理

1、问题查看

第一步,我之前已经做了,第三部,限制ip登录,对我来讲,由于可能会随时随地使用公司网络、家里的网络、手机公网、或者其他公共区域访问自己的私有服务,故而,限制ip,指定ip 这个方案,对我不太合适。所以接下来主要是针对 第二步进行处理。

在处理前,先查看登录失败的信息,输入命令,发现破解者使用了多种用户进行试登录

lastb  (等同于查看 /var/log/btmp 文件内容)

[root@localhost ~]# lastb

root     ssh:notty    61.238.103.153   Mon Aug  9 03:29 - 03:29  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:40 - 02:40  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)

查看登录记录文件大小:


[root@localhost ~]# ll -h /var/log/btmp
-rw------- 1 root utmp 40M 8月  19 00:36 /var/log/btmp


# 统计登录
lastb | awk '{ print $3}' | sort | uniq -c | sort -n

2、添加新用户,禁止root 用户远程登录

添加新用户 useradd  newusername

设置密码  passwd  newusername

编辑 vim /etc/sudoers 

在root ALL=(ALL) ALL 下面添加

newusername ALL=(ALL) ALL 或者newusername ALL=(ALL) NOPASSWD:ALL

3、禁止root用户远程登录

vim /etc/ssh/sshd_config

文件中,# PermitRootLogin yes 修改为

PermitRootLogin no

4、重启sshd 服务

低版本centos使用: service sshd restart

高版本centos使用: systemctl restart sshd.service

5、之后远程登录,可以使用 newusername 登录,然后通过

sudo su 切换为root 用户。

以上三种方案:可参看博文:

https://blog.csdn.net/gammey/article/details/80404375

粗体鱼
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lastb 命令的输出结果中的 ssh:notty 的意思
月下搬砖
03-31 1万+
“ Notty”一词仅表示“ no tty”,大致翻译为“ no terminal”。 当您本地登录到任何Linux计算机时,终端将始终在进程列表中显示为“ tty”。 如果通过SFTP建立了连接,或者您正在使用SCP复制文件(就像在显示上面的屏幕快照之前在测试服务器上所做的那样),那么它将显示为tty(notty)。 以下是参考资料: Who or what is root@notty? If...
针对服务器ssh爆破的处理办法
qq_40179508的博客
08-30 2389
在CentOS7 的/etc目录下有hosts.deny文件,在文件中按照相应的格式添加数据可以禁止相应的IP使用不同的协议进行服务器的连接 比如,禁止ssh爆破就可以使用ssh:all:deny来防范,限定条件deny可加可不加,但是在使用deny all的时候要注意在同目录的hosts.allow文件中添加允许访问的ip地址 例如ssh:1.2.3.4:allow。但是在实际测试的过程中发现,...
拒绝ssh远程暴力破解
热门推荐
gammey的博客
05-22 2万+
拒绝ssh远程暴力破解简介在网络技术日益发展的今天,网络上的安全问题日益严重。当你在公网上使用Linux服务器时,很有可能你的服务器正在遭受ssh暴力破解。曾经有一次我的同伴将给客户提供监控服务的服务器架设在公共网络上,同时设置了弱密码。没过一天,客户的内网出现了严重的问题。我们用了一晚上在研究网络上的问题,结果最后发现就是因为这台新创建的服务器导致客户内网瘫痪,而服务器是被黑客通过ssh暴力破解...
linux 大量 root@notty 进程由来
whatday的专栏
01-19 1万+
当你在ps aux的输出中看到sshd:root@notty时会觉得很奇怪吧,notty算是哪门子的主机,是不是黑客计算机的名字啊。不过不用担心;notty仅仅是表示 没有 tty 而已。 当你在本地登录 Linux 机器时,登录终端会在进程列表中显示为tty( 比如,tty7)。若你通过 ssh 登录一台远程服务器,则会看到类似root@pts/0这样的东西。 而若某个连接...
Linux开启ssh并允许root登录(ubuntu、centos、kalilinux)_ssh允许root远程登录
最新发布
2401_84976176的博客
05-15 630
vim /etc/ssh/sshd_config #没有vim用vi或者yum install -y vim 安装。原来这行:PermitRootLogin prohibit-password。修改成这行:PermitRootLogin yes。
ssh暴力破解主机密码
08-09
ssh暴力破解windows服务器密码,绝对详细的教程,立即可以使用
linux系统下的命令系统及其代表的含义
theskylife的博客
03-21 1767
Linux环境下,如何优雅的使用变量,通配符,任务管理和符号
服务器防止SSH暴力破解
华的专栏
08-25 1629
linu防止ssh暴力破解脚本,centos系统
Linux安全:禁止root用户SSH登录及修改SSH端口
12-01
使用22端口和7000应该都可以登录,这样就避免了在调试时失误(如调整端口后没有调整相应的...使用ssh客户端并用7000端口登录测试,无误后再将/etc/ssh/sshd_config配置文件下的Port 22一句注释并重启sshd服务即可。
centos 7 修改sshd | 禁止 root登录sshd端口脚本定义
09-14
主要介绍了centos 7 修改sshd | 禁止 root登录sshd端口脚本定义,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
lastb命令 列出登入系统失败的用户
01-09
lastb命令用于显示用户错误的登录列表,此指令可以发现系统的登录异常。 单独执行lastb命令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。 语法格式:lastb [参数] 常用参数: -a 把从何处登入系统的主机名称或ip地址显示在最后一行 -d 将IP地址转换成主机名称 -f 指定记录文件 -n 设置列出名单的显示列数 -R 不显示登入系统的主机名称或IP地址 -x 显示系统关机,重新开机,以及执行等级的改变等信息 参考实例 列出登入失败的用户记录: [root@linuxcool ~]#
docker-sshd:最小的Alpine Linux Docker映像,已公开sshd并且已安装rsync
05-13
固态硬盘带有sshd并已安装rsync最小Alpine Linux Docker映像。环境选项使用以下环境变量配置容器,或选择在/etc/ssh/sshd_config挂载自定义sshd配置:常规选项SSH_USERS要创建的用户帐户和uid / SSH_USERS列表。 ...
Linux系统禁止root账号远程登录的命令
09-14
Linux系统中,为了增强安全性,通常建议避免使用root账号进行远程登录,因为root账号拥有最高权限,一旦被恶意攻击者获取,系统可能会遭受严重破坏。本文将详细讲解如何禁止root账号远程登录以及如何创建一个具有...
阿里云远程连接失败(浏览器):SSHD服务默认会禁用 root 用户远程登录登录实例失败等
01-09
以前的阿里云远程登录就是VNC, 并没有Workbench, 所有还是像以前一样点击远程登录, 可以现在默认是Workbench, 所有看到了的是这个界面 已经不再是我们熟悉的这个界面 可惜我还浑然不知, 一而再而的尝试登录, 想着...
sshd:root@notty解决方法
zhengxiuchen86的博客
04-28 2525
sshd:root@notty解决方法
Linux】一步一步学Linux——ssh命令(176)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师---欢迎大家一起交流(私信添加博主微信)
08-23 2614
00. 目录 文章目录00. 目录01. 命令概述02. 命令格式03. 常用选项04. 参考示例05. 附录 01. 命令概述 ssh命令是openssh套件中的客户端连接工具,可以给予ssh加密协议实现安全的远程登录服务器,实现对服务器的远程管理。 02. 命令格式 格式:ssh [选项] [参数] 03. 常用选项 -1 强制使用ssh协议版本1 -2 强制使用ssh协议版本2 -4 强制...
master: root@master: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
09-04
在搭建Hadoop完全分布式集群时,出现"master: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password)"的错误提示。这个错误提示表明在连接到master节点时,SSH认证被拒绝了。 解决这个问题的方法是将本地的公钥添加到服务器的authorized_keys文件中。可以使用以下命令将公钥追加到authorized_keys文件中: ```shell cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys ``` 这样就可以解决"Permission denied (publickey,gssapi-keyex,gssapi-with-mic)"的错误信息了。 此外,如果遇到"PasswordAuthentication"字段被设置为"no"的情况,可以通过修改ssh配置文件来解决。可以使用以下命令打开ssh配置文件: ```shell sudo vim /etc/ssh/sshd_config ``` 然后找到"PasswordAuthentication"字段,并将其修改为"yes",保存文件并重启sshd服务: ```shell sudo systemctl restart sshd ``` 这样就可以解决"Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password)"的问题了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [错误:master: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).](https://blog.csdn.net/hsx15777894525/article/details/117899115)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 解决方法](https://blog.csdn.net/albertjone/article/details/84946557)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值