sshd:root@notty: linux 被暴力登录处理

最新推荐文章于 2025-03-18 17:17:40 发布
最新推荐文章于 2025-03-18 17:17:40 发布
阅读量1.4w 收藏 8
点赞数 4
分类专栏: Linux 文章标签: linux 网络安全 ssh 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangfeng61/article/details/119792115
版权
博主分享了遭遇SSH暴力破解攻击后的应对策略,包括修改非标准端口、禁用root远程登录、添加新用户及限制IP、调整sudoers配置和重启sshd服务。重点介绍了如何查看登录记录、添加新用户并设置权限,以增强服务器安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

今天打开自己的私有服务器,猛然间发现最近登录失败将近2000次, 登录失败的ip 134.209.236.115 德国法兰克福。一顿吃鲸。。。。

由于我是私有服务器,在进行外网和内网ssh的端口映射时已经提前改为非22端口了,这算是第一道防线。密码设置也相对复杂,所以比较幸运的是,还好还未被攻破,赶紧处理一番

二、常规处理方案
1、修改公网的端口和内网端口映射为不常见的端口(一般ssh端口默认是22)。如果是阿里、腾讯云服务,则可以变更ssh端口为非22端口.同时配置安全策略组。

2、修改root 用户不可远程登录

3、限制ip登录(指定ip可进行远程登录访问服务器)

三、问题处理

1、问题查看

第一步,我之前已经做了,第三部,限制ip登录,对我来讲,由于可能会随时随地使用公司网络、家里的网络、手机公网、或者其他公共区域访问自己的私有服务,故而,限制ip,指定ip 这个方案,对我不太合适。所以接下来主要是针对 第二步进行处理。

在处理前,先查看登录失败的信息,输入命令,发现破解者使用了多种用户进行试登录

lastb  (等同于查看 /var/log/btmp 文件内容)

[root@localhost ~]# lastb

root     ssh:notty    61.238.103.153   Mon Aug  9 03:29 - 03:29  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:40 - 02:40  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)

查看登录记录文件大小:


[root@localhost ~]# ll -h /var/log/btmp
-rw------- 1 root utmp 40M 8月  19 00:36 /var/log/btmp


# 统计登录
lastb | awk '{ print $3}' | sort | uniq -c | sort -n

2、添加新用户,禁止root 用户远程登录

添加新用户 useradd  newusername

设置密码  passwd  newusername

编辑 vim /etc/sudoers 

在root ALL=(ALL) ALL 下面添加

newusername ALL=(ALL) ALL 或者newusername ALL=(ALL) NOPASSWD:ALL

3、禁止root用户远程登录

vim /etc/ssh/sshd_config

文件中,# PermitRootLogin yes 修改为

PermitRootLogin no

4、重启sshd 服务

低版本centos使用: service sshd restart

高版本centos使用: systemctl restart sshd.service

5、之后远程登录,可以使用 newusername 登录,然后通过

sudo su 切换为root 用户。

以上三种方案:可参看博文:

https://blog.csdn.net/gammey/article/details/80404375

网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 893
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
centos7查看linux的系统日志和行为日志以及配置安全防护暴力破解之一
没刮胡子的程序员专栏
08-12 1328
在CentOS 7中,查看Linux的系统日志和行为日志以及配置安全是一个重要的管理任务。
SSH
笔落_惊风雨的博客
01-03 1061
SSH:Secure Shell Protocol,安全的远程登录,实现加密通信,替代传统telnet协议。端口:22/tcp。
sshd:root@notty解决方法
weixin_34239592的博客
01-14 4108
sshd:root@notty解决方法 [复制链接]--http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=2050551     cat /etc/fstab ## /etc/fstab# Created by anaconda on Mon Jan 26 19:10:11 2015## Accessible filesys...
SSH无法使用root用户进行登陆的解决方法
主要记录嵌入式学习与开发过程。
03-18 501
使用MobaXterm软件,SSH以root身份进行登陆时,提示“access deny”。
lastb 命令的输出结果中的 ssh:notty 的意思
热门推荐
月下搬砖
03-31 1万+
Notty”一词仅表示“ no tty”,大致翻译为“ no terminal”。 当您本地登录到任何Linux计算机时,终端将始终在进程列表中显示为“ tty”。 如果通过SFTP建立了连接,或者您正在使用SCP复制文件(就像在显示上面的屏幕快照之前在测试服务器上所做的那样),那么它将显示为tty(notty)。 以下是参考资料: Who or what is root@notty? If...
Linux登录暴力破解工具 hydra
0ffs3t
12-24 1648
hydra 是一个暴力破解工具,主要是针对Linux的。如果知道合法的用户名更好,要是实在是不知道,那也没关系,直接暴力破解root吧,一步到位。 先看下hydra -h的显示,再慢慢解释好了。 Syntax: hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o FILE] [-t TA
sshLinux提高ssh安全性配置
吾星喵的博客
03-03 6497
专题:Linux应用服务配置 各类Linux软件安装配置 更多内容请点击 我的博客 查看,欢迎来访。 前言 在公网服务器,用户认证的日志中,经常看到有其他人在尝试登录服务器,暴力破解,万一拿到密码就会对系统造成破坏。一般修改ssh端口号可以一定程度的提高服务器的安全性,但是想要更好的解决这一问题,最好使用密钥登录,虽然可能存在一定的不方便。 root@XXX-Svr:~# tail -f -n...
linux运维零基础学习教程:Linux计划任务与日志的管理
Xiadaoanquan123的博客
01-11 488
全套学习资料移步至公众号【学神来啦】更多学习资料添加扣扣资源群:661308959 本节所讲内容: 16.1 计划任务-at-cron-计划任务使用方法 16.2 日志的种类和记录的方式-自定义ssh服务日志类型和存储位置 16.3 实战-日志切割-搭建远程日志收集服务器 16.4 实战-配置公司内网服务器每天定时自动开关机 大家平常都会有一些比如说:你每天固定几点起床?每天按时上班打卡、每月15号准时开工资、每年2月14你俩口子某某纪念日等这些诸如此类,这些都是...
ssh暴力破解主机密码
08-09
ssh暴力破解windows服务器密码,绝对详细的教程,立即可以使用
Linux防止暴力破解密码脚本
weixin_50840109的博客
04-12 453
Linux防止暴力破解密码脚本 1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname=
linux暴力破解登录密码
天才战士的博客
07-19 1251
原文地址:https://blog.csdn.net/qq_30553773/article/details/78705079 上两个星期发生了一件事情,让我感觉到安全是多么的重要,因为租了一天学生机Linux作为服务器,没想到用了没两个月就出现问题了。给外国黑客ssh暴力破解,然后安装挖矿病毒,导致cpu满了,远程都链接不上,只能重装系统。 查看/var/log/secure 文件可以看到很...
linuxssh服务
n_u_l_l_的博客
11-01 843
传输分为明文和密文传输,从名字就可以很好的理解了,密文就是正常人看不懂的传输方式,明文就是都可以看懂的。 所以明文是不太安全的。在linux中有一种连接方式ssh 全名Secure SHell是一种加密的传输方式,较为安全,主要是实现远程加密连接。默认的端口是udp22号端口。 也有很多额外的远程连接工具,比如xshell ,xmanager…等等 一般安装操作系统是自动安装了 ssh软件,没有...
linux 大量 root@notty 进程由来
whatday的专栏
01-19 1万+
当你在ps aux的输出中看到sshdroot@notty时会觉得很奇怪吧,notty算是哪门子的主机,是不是黑客计算机的名字啊。不过不用担心;notty仅仅是表示 没有 tty 而已。 当你在本地登录 Linux 机器时,登录终端会在进程列表中显示为tty( 比如,tty7)。若你通过 ssh 登录一台远程服务器,则会看到类似root@pts/0这样的东西。 而若某个连接...
sshd连接不上
文档搬运工
12-23 593
现象:sshd服务器的时候,发现已经建立连接了,然后就立刻断开了 。重新连接也是这样。 在启动sshd服务的时候,提示/var/empty/sshd must be owned by root and not group or world-writable。 回想了之前的操作,是因为修改了/var目录的权限为777,属主为root:root。   解决方法: chown -R root....
关于Ubuntu ssh远程连接报错和无法root登录的解决方法
TREEGLORY的博客
11-18 2381
MobaXterm v22.0 版本直接可以远程连接上(前提是sshd服务是开启的状态)注意:须使用最新版本或较高版本的ssh远程连接工具,进行ssh连接;若使用较低版本的ssh远程连接工具,会报错,导致连接不上。
服务器防止SSH暴力破解
华的专栏
08-25 1772
linu防止ssh暴力破解脚本,centos系统
root@11.3.56.239's password: xCcX03ro@o Permission denied, please try again. root@11.3.56.239's password: xCcX03ro@oPermission denied, please try again. root@11.3.56.239's password: Last failed login: Sat Mar 29 11:28:20 CST 2025 from 11.3.56.239 on ssh:notty There were 2 failed login attempts since the last successful login. Last login: Sat Mar 29 11:27:26 2025 from 11.3.56.237 Welcome to Alibaba Cloud Elastic Compute Service !
最新发布
03-30
### SSH 登录失败问题分析 遇到 `Permission denied (publickey)` 的错误通常表明客户端无法通过公钥认证成功访问服务器。以下是可能的原因以及对应的解决方案: #### 可能原因及解决方法 1. **SSH密钥未正确配置** 如果服务器端没有加载用户的私钥或者公钥,则可能导致权限被拒绝。需要确认 `.ssh` 文件夹中的 `id_rsa` 和 `id_rsa.pub` 是否存在并正确设置[^1]。 2. **Git 安装路径下的 SSH 配置文件修改** 对于 Windows 用户,如果使用的是 Git Bash 或者其他基于 Git 的工具链,可以通过调整其内部的 SSH 配置来解决问题。具体操作是在 Git 安装目录下进入 `etc/ssh` 文件夹内的 `ssh_config` 文件中添加以下内容: ```plaintext Host * IdentityFile ~/.ssh/id_rsa HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa ``` 此外还需要确保这些算法支持旧版本 RSA 密钥[^2]。 3. **Root 用户登录限制** 很多 Linux 发行版默认禁用了 Root 用户直接通过 SSH 登陆的功能以提高安全性。可以在 `/etc/ssh/sshd_config` 中查找或新增如下参数并将值设为 yes 后重启服务生效: ```bash PermitRootLogin yes PasswordAuthentication no AuthorizedKeysFile .ssh/authorized_keys ``` 修改完成后记得执行命令刷新更改效果: ```bash systemctl restart sshd ``` 若仍然存在问题可考虑切换至普通用户再 su 到超级管理员身份运行必要指令[^3]。 4. **Known_hosts 缓存冲突** 当前机器曾经连接过目标 IP 地址但当时使用的可能是不同的设备或者是虚拟机重装等原因造成指纹不匹配也会引发此类警告信息。此时可以删除本地缓存记录重新建立信任关系即可恢复正常通讯状态。 删除方式有两种:一种手动编辑打开 `%USERPROFILE%\.ssh\known_hosts` 查找对应条目删掉;另一种更简便的方法就是清空整个文件内容然后再次发起请求让系统自动更新最新数据。 5. **CentOS 特定环境调试技巧** 在某些情况下即使完成了上述所有步骤依旧会碰到障碍。这时建议启用详细日志模式查看具体的交互过程从而定位确切位置所在。例如利用 `-v`, `-vv`, 或者最高级别 `-vvv` 参数获取更多细节帮助判断实际状况如何发展变化。 命令实例演示如下所示: ```bash ssh -vvv git@yourserveripaddress ``` 以上便是针对您提到的情况所提供的全面解析方案集合,请按照实际情况逐一排查直至彻底消除异常现象为止! ```python import os print(os.getcwd()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值