Rob*_*ior 5 security ssh logging
我看到很多带有这一行的日志:
Nov 7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11:
Nov 7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11:
我在这里只粘贴了 7 行,但我在日志文件中有数百行。IP始终相同。
我被告知这表明我的服务器被黑了,攻击者以某种方式设法清除了注册登录信息的日志条目,因为为了获得“断开连接”消息,我必须为以前一样的IP。这是真的?
我的问题是:
服务器运行 CentOS 并关闭了 SSH 密码验证。唯一显示“已接受公钥...”的日志来自我自己的公共 IP 地址。所以我猜他们不会通过这种方法登录,除非攻击者真的清除了任何痕迹,对吗?
提前谢谢了。
这是蛮力攻击
这是尝试通过发送登录请求然后测试结果来查找登录访问的方法,只要结果未登录,它就会重试另一个登录名/密码组合,直到授予访问权限
主要针对互联网:
防止此类攻击:
今天大多数系统工具都足以抵御这种攻击
我认为除非您的登录/密码级别较低,否则您不会被黑客入侵。这个日志除了尝试失败外什么也没说。
如果黑客登录,他们会删除所有日志,而不仅仅是一些日志(时间太长了)。
你能做的(如果你真的认为你被黑了)是检查你是否有一段时间没有日志或丢失日志。
根据建议,您可以使用一些工具来防止诸如此类的攻击 fail2ban
有关信息SSH2_DISCONNECT_BY_APPLICATION,您的案例中的消息意味着这是来自用 Java 编写的僵尸网络的僵尸登录尝试
| 归档时间: |
|
| 查看次数: |
20409 次 |
| 最近记录: |