我刚刚受到攻击了吗？

Question

我刚刚受到攻击了吗？

我昨天在 HP ProLiant 360 G4 上设置了我的 Debian 服务器。我从最少的服务开始，只运行 SSH 和 Apache，所有这些都在具有默认配置的标准端口上。

大约一个小时前，我注意到系统的奇怪行为。延迟明显增加，我无法执行远程重启。我设法在大约 15 分钟内使服务器脱离网络。

我一直在查看日志并在以下位置找到这些条目auth.log：

4 月 3 日 17:31:35 karel sshd[25941]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:35 karel sshd[25941]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:35 karel sshd[25941]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:37 karel sshd[25941]：来自 70.61.237.202 端口 53004 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:37 karel sshd[25941]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:39 karel sshd[25943]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:39 karel sshd[25943]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:39 karel sshd[25943]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:39 karel sshd[25943]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:41 karel sshd[25943]：来自 70.61.237.202 端口 30756 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:41 karel sshd[25943]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:42 karel sshd[25945]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:42 karel sshd[25945]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:42 karel sshd[25945]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:42 karel sshd[25945]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:45 karel sshd[25945]：来自 70.61.237.202 端口 43388 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:45 karel sshd[25945]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:46 karel sshd[25947]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:46 karel sshd[25947]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:46 karel sshd[25947]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:46 karel sshd[25947]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:49 karel sshd[25947]：来自 70.61.237.202 端口 29640 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:49 karel sshd[25947]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:50 karel sshd[25949]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:50 karel sshd[25949]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:50 karel sshd[25949]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:50 karel sshd[25949]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:52 karel sshd[25949]：来自 70.61.237.202 端口 56323 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:52 karel sshd[25949]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:54 karel sshd[25951]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:54 karel sshd[25951]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:54 karel sshd[25951]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:54 karel sshd[25951]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:56 karel sshd[25951]：来自 70.61.237.202 端口 54603 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:56 karel sshd[25951]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:57 karel sshd[25953]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:31:57 karel sshd[25953]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:57 karel sshd[25953]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:57 karel sshd[25953]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:59 karel sshd[25953]：来自 70.61.237.202 端口 30332 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:59 karel sshd[25953]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:01 karel sshd[25955]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:32:01 karel sshd[25955]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:32:01 karel sshd[25955]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:01 karel sshd[25955]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:03 karel sshd[25955]：来自 70.61.237.202 端口 30855 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:32:03 karel sshd[25955]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:04 karel sshd[25957]：来自 70.61.237.202 的无效用户 takeuchi
4 月 3 日 17:32:04 karel sshd[25957]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:32:04 karel sshd[25957]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:04 karel sshd[25957]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:07 karel sshd[25957]：来自 70.61.237.202 端口 31154 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:32:07 karel sshd[25957]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:08 karel sshd[25959]：来自 70.61.237.202 的无效用户
4 月 3 日 17:32:08 karel sshd[25959]：input_userauth_request：无效用户 [preauth]
4 月 3 日 17:32:08 karel sshd[25959]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:08 karel sshd[25959]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:11 karel sshd[25959]：来自 70.61.237.202 端口 59904 ssh2 的无效用户 wut 的密码失败
4 月 3 日 17:32:11 karel sshd[25959]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:12 karel sshd[25961]：来自 70.61.237.202 的无效用户
4 月 3 日 17:32:12 karel sshd[25961]：input_userauth_request：无效用户 [preauth]
4 月 3 日 17:32:12 karel sshd[25961]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:12 karel sshd[25961]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:14 karel sshd[25961]：来自 70.61.237.202 端口 45945 ssh2 的无效用户 wut 的密码失败
4 月 3 日 17:32:14 karel sshd[25961]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:15 karel sshd[25963]：来自 70.61.237.202 的无效用户
4 月 3 日 17:32:15 karel sshd[25963]：input_userauth_request：无效用户 [preauth]
4 月 3 日 17:32:15 karel sshd[25963]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:15 karel sshd[25963]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:18 karel sshd[25963]：来自 70.61.237.202 端口 52652 ssh2 的无效用户 wut 的密码失败
4 月 3 日 17:32:18 karel sshd[25963]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:19 karel sshd[25965]：来自 70.61.237.202 的无效用户
4 月 3 日 17:32:19 karel sshd[25965]：input_userauth_request：无效用户 [preauth]
4 月 3 日 17:32:19 karel sshd[25965]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:19 karel sshd[25965]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:21 karel sshd[25965]：来自 70.61.237.202 端口 34513 ssh2 的无效用户 wut 的密码失败
4 月 3 日 17:32:21 karel sshd[25965]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:32:23 karel sshd[25967]：来自 70.61.237.202 的无效用户
4 月 3 日 17:32:23 karel sshd[25967]：input_userauth_request：无效用户 [preauth]
4 月 3 日 17:32:23 karel sshd[25967]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:32:23 karel sshd[25967]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:32:24 karel sshd[25967]：来自 70.61.237.202 端口 32538 ssh2 的无效用户 wut 的密码失败
4 月 3 日 17:32:24 karel sshd[25967]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]

我应该担心潜在的系统漏洞吗？我为我的帐户使用强密码，当时禁用了 root 登录。如果我为 SSH 打开不同的端口会有帮助吗？

谢谢！

Answer 1

Hop*_*00b 7

是的，您受到了攻击，是的，即使使用强 SSH 密码，您也应该担心系统遭到破坏。

你应该：

实施fail2ban
将 SSH 移动到非标准端口。
- 无论如何，移动 SSH 不会阻止专门的攻击者找到您的服务所在的位置，但它会挫败用于绝大多数远程暴力攻击的机器人。他们只追求默认端口。
为 SSH 登录设置证书身份验证。

归档时间：	11 年，8 月前
查看次数：	2314 次
最近记录：	11 年，8 月前