新入手了一台HostUS的VPS,刚重做好系统,发现每次用Putty登录都提示距离上次成功登录有十几次失败的登录。什么鬼啊!难道有人尝试登录我的VPS?
马上用lastb命令查看一下登录失败的日志记录。一堆记录,全部都是尝试用root登录。再用wc数一下数量。word天啊!不到一个小时就有122条记录。显然有人在暴力破解登录密码了。
$ lastb | grep root | wc -l
122手上两台BandwagonHost的VPS从来没有遇到过这样的事。想到HostUS建好的系统使用默认的SSH端口22,而BandwagonHost是随机分配SSH端口,估计这就是被人盯上的主要原因。于是马上去改SSH端口。一般都是在/etc/ssh/sshd_config里面改SSH的监听端口,不过HostUS的控制面板也提供了改SSH端口的功能。改好重启后,世界马上就安静了。
最后看一下是哪些IP爆破我的VPS,顺手在iptables里面加入拦截的名单。
$ lastb | grep root | awk '{print $3}' | sort | uniq
58.218.204.181
61.234.247.236竟然都是国内的IP,并且应该是一些数据中心的IP。估计都是国内有人通过服务器不停地找肉鸡。
$ iptables -I INPUT -s 58.218.204.181 -j DROP
$ iptables -I INPUT -s 61.234.247.236 -j DROP
$ iptables --list
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 61.234.247.236 anywhere
DROP all -- 58.218.204.181 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination现在过了一天,暂时再也没有新的爆破记录了。如果还有的话,就要关闭root的密码登录改用密钥登录了。
文章评论