服务器又被攻击了

一天没登服务器,第二天再登,看到1万多条登录失败的记录,怀疑服务器被攻击了。不用怀疑肯定是了。

先查看一下登录成功的记录

grep "Accepted" secure

查询结果只有我自己登录成功,目前还没被攻破。不做加固,欢迎来搞!

既然来了,得留下点什么东西,

分析一下爆破的用户名

除了root还有这些用户名是它常用的

查询攻击者的ip

一直爆破多没意思,防火墙上禁止这两个ip访问,再来修改ssh默认端口号,设置登录次数超过三次禁止登录

你可能感兴趣的:(服务器又被攻击了)