今天看系统日志的时候,发现有人正在进行ssh密码暴力破解,

查看IP来自泰国,不过也不排除是有人使用了跳板。

因为刚入职新公司,还没做安全设置。所以给了cracker可乘之机。

使用

 
  
  1. cat /var/log/messages  |grep   sshd 
 
  
查看最近的sshd暴力破解记录,晕了,
 
  
居然一大堆。
 
  
但是这样看数据太多了,其中也包括了正常登录的情况。无法显示每个人的登录IP次数,
 
  
于是使用
 
  
 
  
  1. cat /var/log/messages  |grep  sshd |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}'| sort | uniq -c 
 
  
查看,这样清晰多了。
 
  
 
  
居然有达到1万多的,果断禁止IP。
 
  
其实还可以通过denyhosts工具来防止ssh暴力破解实现自动禁止IP。不过我这台机器
 
  
由于是以前开发人员安装的,资源分配不合理,下周就要替换下来。所以,目前木有
 
  
安装此工具。