ps 是否列出了许多 sshd/root 进程，暴力破解 SSH 尝试？

Question

ps 是否列出了许多 sshd/root 进程，暴力破解 SSH 尝试？

在执行 a 时，ps -efH我看到很多以下内容，其中 14:24 基本上是当前系统时间。这些进程每分钟都会弹出。

root      6851     1  0 14:24 ?        00:00:00   sshd: root [priv]
sshd      6852  6851  0 14:24 ?        00:00:00     sshd: root [net]
root      6869  6851  1 14:24 ?        00:00:00     sshd: root [pam]
root      6861     1  0 14:24 ?        00:00:00   sshd: root [priv]
sshd      6863  6861  0 14:24 ?        00:00:00     sshd: root [net]
root      6874  6861  0 14:24 ?        00:00:00     sshd: root [pam]
root      6865     1  0 14:24 ?        00:00:00   sshd: root [priv]
sshd      6866  6865  0 14:24 ?        00:00:00     sshd: root [net]
root      6875  6865  0 14:24 ?        00:00:00     sshd: root [pam]
root      6872     1  1 14:24 ?        00:00:00   sshd: root [priv]
sshd      6873  6872  0 14:24 ?        00:00:00     sshd: root [net]
root      6876  6872  0 14:24 ?        00:00:00     sshd: root [pam]

Run Code Online (Sandbox Code Playgroud)

这是否意味着有人试图通过 SSH 暴力破解这台机器上的 root 密码？或者是不那么邪恶的事情？

Answer 1

Gia*_*968 5

\n
这是否意味着有人试图通过 SSH 暴力破解这台计算机上的 root 密码？或者是不那么邪恶的事情？
\n

\n\n

可能是尝试通过 SSH 进行暴力破解，但即使它是 \xe2\x80\x9cnefious\xe2\x80\x9d 我也不会因此而失眠。大多数可在互联网上公开访问的服务器始终都会受到攻击者的探测。有人实际上 \xe2\x80\x9casing 关节\xe2\x80\x9d 没什么值得失眠的；系统的实际渗透率是。

\n\n

哎呀，我刚刚检查了auth.log我管理的公共服务器，并在过去 24 小时内运行此命令时计数了超过 2000 次 \xe2\x80\x9cauthentication failure\xe2\x80\x9d 尝试：

\n\n

sudo grep "authentication failure;" /var/log/auth.log | wc -l\n

Run Code Online (Sandbox Code Playgroud)\n\n

听起来很可怕，但说实话，谁在乎呢？auth.log使用上述命令的稍微修改版本来快速目视检查日志条目：

\n\n

sudo grep "authentication failure;" /var/log/auth.log\n

Run Code Online (Sandbox Code Playgroud)\n\n

\xe2\x80\xa6 向我展示了这样的东西：

\n\n

Mar 15 07:02:09 hostname sshd[2213]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root\nMar 15 07:02:19 hostname sshd[2236]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root\nMar 15 07:02:31 hostname sshd[2355]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.35  user=root\n

Run Code Online (Sandbox Code Playgroud)\n\n

请注意帐户上的所有尝试访问尝试如何root？在我设置的任何系统上，root立即将\xe2\x80\x99s 绝育。所以这些尝试对我来说都是徒劳的。因此，如果您检查auth.log并发现有大量ssh通过该帐户进入系统的尝试root，请确保您的 system\xe2\x80\x99sroot帐户完全禁用，以消除该问题。

\n\n

经过root帐户尝试后，如果您看到看似随机的用户名访问您的系统，这也是入侵系统的另一次尝试。除非这些用户名等于您系统上的某个用户名，否则我根本不会担心它们。

\n\n

现在，一些系统管理员会说解决此问题的最佳解决方案是简单地从 SSH 完全禁用密码身份验证，并仅使用 SSH 密钥对，但我倾向于认为这是矫枉过正。并不是说 SSH 密钥对很弱\xe2\x80\x94，它们是\xe2\x80\x99t\xe2\x80\x94，但是如果系统\xe2\x80\x99s 访问方法从第一天开始就设置得合理且安全，并且密码是足够强大，不容易被黑客攻击，那么系统就相当安全。\xe2\x80\x99s 因为现代 Web 服务器上最大的漏洞是实际在服务器本身上运行的前端 Web 应用程序，而不是 SSH 之类的东西。

\n\n

归根结底，我不会担心这些随机 \xe2\x80\x9cwar 拨号 \xe2\x80\x9d 尝试，而是先发制人地理性确保服务器本身禁用了用户帐户root。如果您在 2015 年仍然在启用该帐户的情况下运行公共服务器root，那么从长远来看，您\xe2\x80\x99 基本上会感到头痛。

\n

归档时间：	10 年，7 月前
查看次数：	6441 次
最近记录：	10 年，7 月前