最近一直关注Linux服务器的的/var/log/secure文件,发现里面有大量的ssh失败尝试记录,如下
查看了该IP的尝试次数和时间,一直从凌晨4点到下午1点
多达9288次的扫描,从图中可以看出正在尝试各种用户名来连接,真他妈的没事干,也不知道用什么破软件在那里无聊,幸好我的密码也够复杂,要不然嘿嘿..........
我服务器上的secure有多个,按时间进行截取的,我对其中的secure.1文件进行统计。
获取其中的ip地址和数量:
# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq -c
如此之多,让我不禁冒出冷汗,真吓人,也不知道我的服务器上面有什么好东西,那么喜欢,真二!!!!当然如果是自己通过ssh成功连接,记录也会在这里面。
为了防止此类无聊之人再次光临,就得想办法不让他们进行扫描,本人在网上查找资料,得知Denyhosts软件可以达到该效果,DenyHosts是Python语言写的一个程序,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP的功能。如果是手动添加的话不把人累死才怪。
DenyHosts官方网站为:http://denyhosts.sourceforge.net
本文已附上附件,是从该网站下载的,版本为较新的2.6版。
